预警php-fpm在特定nginx配置下远程代码执行漏洞(CVE-2019-11043)

释放双眼,带上耳机,听听看~!

2019年10月23日,本站安全专题监控到php官方发布漏洞信息,披露php-fpm在特定nginx配置下可导致远程代码执行漏洞(CVE-2019-11043),目前PoC已被披露,风险较大

漏洞描述

nginx 配置项 fastcgi_split_path_info 在处理带有 %0a 的请求时遇到换行符 \n 会导致 PATH_INFO 为空,进而导致特定的攻击请求会修改php-fpm进程中的相关配置,在特殊配置情况下可导致远程代码执行漏洞,相关漏洞配置类似如下:


1
2
3
4
5
6
7
8
9
```
   location ~ [^/]\.php(/|$) {
        fastcgi_split_path_info ^(.+?\.php)(/.*)$;
        fastcgi_param PATH_INFO       $fastcgi_path_info;
        fastcgi_pass   php:9000;
        ...
  }
}
```

本站安全专题提醒php-fpm+nginx用户尽快排查nginx配置项并采取安全措施阻止漏洞攻击。

漏洞评级

CVE-2019-11043 中危

安全建议

删除或修改如下配置,防止.php之后可传入任意字符(可能会影响正常业务):


1
2
3
4
5
```
fastcgi_split_path_info ^(.+?\.php)(/.*)$;        
fastcgi_param PATH_INFO       $fastcgi_path_info;

```

相关链接

https://bugs.php.net/bug.php?id=78599

https://lab.wallarm.com/php-remote-code-execution-0-day-discovered-in-real-world-ctf-exercise/

我们会关注后续进展,请随时关注官方公告。

内容来自网络,如有侵犯到您的权益,请联系站长QQ7529997,我们将及时处理。

本站安全专题

2019.10.23

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

Rails 5.2.4.1 与 6.0.2.1 发布,修复漏洞

2019-12-19 11:12:22

安全漏洞

腾讯 Blade Team 获封 CNVD “最具价值漏洞”奖

2019-12-31 11:12:22

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索