【安全预警】PHP远程代码执行漏洞风险预警(CVE-2019-11043)

近日,腾讯云安全中心监测到PHP 官方披露了Nginx + php-fpm 部分配置下存在的远程代码执行高危漏洞,攻击者可利用漏洞对目标网站进行远程代码执行攻击。

为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。同时建议云上租户免费开通「安全运营中心」-安全情报,及时获取最新漏洞情报、修复方案及数据泄露情况,感知云上资产风险态势。

【风险等级】

高风险

【漏洞风险】

远程代码执行攻击

【漏洞详情】

9 月 26 日,PHP 官方发布漏洞通告,提到 Nginx 与 php-fpm 服务器上存在的一处高危漏洞,由于Nginx的fastcgi_split_path_info模块在处理带 %0a 的请求时,对换行符 \n 处置不当使得将 PATH_INFO 值置为空,从而导致 php-fpm 组件在处理 PATH_INFO 时存在漏洞,可被攻击者利用进行代码执行攻击。目前开源社区已有漏洞PoC公开。

【影响版本】

Nginx + php-fpm 环境下,存在如下配置下会存在风险:

 location ~ [^/]\.php(/|$) {

        fastcgi_split_path_info ^(.+?\.php)(/.*)$;

        fastcgi_param PATH_INFO       $fastcgi_path_info;

        fastcgi_pass   php:9000;

        ...

  }

}

【修复建议】

由于漏洞利用需要Nginx+php-fpm环境,用户默认安装的配置不受影响,为确保安全,建议您检查本地 Nginx 配置文件

CentOS默认目录为/etc/nginx/nginx.conf

确认是否存在上述风险配置,如果存在,建议您找到并删除如下配置项:

fastcgi_split_path_info ^(.+?\.php)(/.*)$;

fastcgi_param PATH_INFO       $fastcgi_path_info;

【漏洞参考】

1)官方更新通告:

https://bugs.php.net/bug.php?id=78599

2)开源社区介绍:

https://github.com/neex/phuip-fpizdam/

关于云鼎实验室

腾讯安全云鼎实验室一直专注于云领域前沿安全技术研究与创新,以及云标准化与合规体系建设等工作。通过机器学习与大数据技术实时监测并分析各类风险信息,同时,云鼎实验室帮助客户抵御高级可持续攻击,并联合腾讯安全其他实验室进行安全漏洞的研究,确保云计算平台整体的安全性,且相关能力通过腾讯云开放出来。云鼎实验室在云安全领域的研究与实战积累,使得腾讯云能够为企业和创业者提供集云计算、云数据、云运营于一体的云端服务体验,同时也是最可信的安全防护平台之一。

➤推荐阅读

关注云鼎实验室,获取更多安全情报

建议云上租户免费开通「安全运营中心」-安全情报,及时获取最新漏洞情报、修复方案及数据泄露情况,感知云上资产风险态势。点击“阅读原文”,即可免费开通。

本文分享自微信公众号 - 云鼎实验室(YunDingLab)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-10-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券