收藏 [登錄/注冊] 歡迎
榕基門戶網及子站
聯系我們
  • 福建榕基軟件股份有限公司
  • 電話:0591-87860988
  • 傳真:0591-87869595
  • 地址:福建省福州市鼓樓區
  •    軟件大道89號
  •    A區15座
  • 郵編:350003
您的當前位置:首頁 > 技術支持 > 漏洞公告

PHP-FPM遠程代碼執行漏洞

關于PHP-FPM遠程代碼執行漏洞(CVE-2019-11043),攻擊者成功利用漏洞,可遠程執行代碼。當Nginx + php-fpm 的服務器在特定配置下,都會受該漏洞影響。目前,PHP官方已經發布新版本修復了該漏洞,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。

一、漏洞介紹

PHP是PHP Group和開放源代碼社區共同維護的一種開源的通用計算機腳本語言。該語言主要用于Web開發,支持多種數據庫及操作系統。PHP-FPM是PHP集成的一個組件,用于FastCGI進程管理,Nginx 是一個HTTP和反向代理web服務器。

該漏洞需要在PHP-FPM+Nginx組合,并采用一定配置的情況下才會被觸發,但這個配置并非Nginx默認配置。當fastcgi_split_path_info字段被配置為 ^(.+?\.php)(/.*)$;時,攻擊者可以通過精心構造的payload,觸發遠程代碼執行漏洞,由于該配置已被廣泛使用,危害較大,請用戶及時采取修補措施。

二、危害影響

當PHP-FPM+Nginx的服務器有如下配置的時候,都會受漏洞影響,配置如下:

location ~ [^/]\.php(/|$) {

       fastcgi_split_path_info ^(.+?\.php)(/.*)$;

       fastcgi_param PATH_INFO       $fastcgi_path_info;

       fastcgi_pass   php:9000;

       ...

   }

}

該漏洞PoC已在2019年10月22日公布,PHP與Nginx組合使用的情況較為廣泛,攻擊者可利用該漏洞遠程執行任意代碼,所以危害較大。

三、修復建議

目前,PHP官方已經發布新版本修復了該漏洞,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。更新如下:      

https://bugs.php.net/patch-display.php?bug_id=78599&patch=0001-Fix-bug-78599-env_path_info-underflow-can-lead-to-RC.patch&revision=latest

修改配置解決措施如下:

(1)在nginx 配置文件中加入try_files $uri=404

(2)結合業務需求,刪除如下配置

fastcgi_split_path_info ^(.+?\.php)(/.*)$;

fastcgi_param PATH_INFO       $fastcgi_path_info;


福彩3d跨度走势图300期带连线