【漏洞详情】
平安云监测到PHP官方发布漏洞信息,PHP-FPM在特定Nginx配置下存在远程代码执行漏洞(CVE-2019-11043)。同时使用Nginx和PHP-FPM的服务器,在特殊配置下存在逻辑缺陷,利用此缺陷可实施远程代码执行攻击,目前PoC已被披露,漏洞风险较大,建议受影响的用户尽快修复。
【风险评级】
高危
【影响范围】
Nginx + php-fpm 环境下,当存在如下配置时存在安全漏洞:
location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
...
}
}
【修复建议】
建议受影响用户综合评估漏洞风险和业务影响,可通过如下方法避免安全风险:
检查本地 Nginx 配置文件,删除或修改如下配置,防止.php之后可传入任意字符:
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;。
【参考链接】
https://bugs.php.net/bug.php?id=78599
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2019年10月24日