PHP远程代码执行漏洞(CVE-2019-11043)
近日,金山云安全应急响应中心监控到 PHP 官方发布了一则漏洞通告 ,该通告表明: 使用 Nginx 和 php-fpm 的服务器 , 在部分配置中 存在远程代码执行漏洞。该配置较为通用 , 为避免漏洞被利用造成损失,建议受影响的用户尽快修复此漏洞。
漏洞编号:
CVE-2019-11043
漏洞名称:
PHP远程代码执行漏洞
漏洞危害等级:
高危
漏洞描述:
Nginx 上的fastcgi_split_path_info 模块,对于带有%0a 的请求,Nginx处理时 会因为遇到换行符 \n 将 PATH_INFO置 为空。而 php-fpm 在处理 PATH_INFO 为空的情况下 , 存在逻辑缺陷。可被攻击者利用 导致远程代码执行。 9 月 26 日 ,PHP 官方发布了漏洞通告; 10 月 22 日, 漏洞 PoC在开源社区 公开 。
影响版本:
使用Nginx 和 php-fpm 的服务器,采用了如下配置 :
location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
...
}
修复方案:
1.检查Nginx 配置文件是否使用上述配置,如使用,建议删除以下字段:
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
2.在PHP发布相关补丁时,及时安装。
参考链接:
https://bugs.php.net/bug.php?id=78599
https://github.com/neex/phuip-fpizdam/
北京金山云网络技术有限公司
2019/10/23