【漏洞详情】

平安云监测到PHP官方发布漏洞信息，PHP-FPM在特定Nginx配置下存在远程代码执行漏洞（CVE-2019-11043）。同时使用Nginx和PHP-FPM的服务器，在特殊配置下存在逻辑缺陷，利用此缺陷可实施远程代码执行攻击，目前PoC已被披露，漏洞风险较大，建议受影响的用户尽快修复。

【风险评级】

高危

【影响范围】

Nginx + php-fpm 环境下，当存在如下配置时存在安全漏洞：

   location ~ [^/]\.php(/|$) {

        fastcgi_split_path_info ^(.+?\.php)(/.*)$;

        fastcgi_param PATH_INFO       $fastcgi_path_info;

        fastcgi_pass   php:9000;

        ...

  }

}

【修复建议】

建议受影响用户综合评估漏洞风险和业务影响，可通过如下方法避免安全风险：

检查本地 Nginx 配置文件，删除或修改如下配置，防止.php之后可传入任意字符：

   fastcgi_split_path_info ^(.+?\.php)(/.*)$;

   fastcgi_param PATH_INFO       $fastcgi_path_info;。

【参考链接】

https://bugs.php.net/bug.php?id=78599

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2019年10月24日