【安全预警】PHP远程代码执行漏洞风险预警（CVE-2019-11043）

近日，腾讯云安全中心监测到PHP 官方披露了Nginx + php-fpm 部分配置下存在的远程代码执行高危漏洞，攻击者可利用漏洞对目标网站进行远程代码执行攻击。

为避免您的业务受影响，腾讯云安全中心建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。同时建议云上租户免费开通「安全运营中心」-安全情报，及时获取最新漏洞情报、修复方案及数据泄露情况，感知云上资产风险态势。

【风险等级】

高风险

【漏洞风险】

远程代码执行攻击

【漏洞详情】

9 月 26 日，PHP 官方发布漏洞通告，提到 Nginx 与 php-fpm 服务器上存在的一处高危漏洞，由于Nginx的fastcgi_split_path_info模块在处理带 %0a 的请求时，对换行符 \n 处置不当使得将 PATH_INFO 值置为空，从而导致 php-fpm 组件在处理 PATH_INFO 时存在漏洞，可被攻击者利用进行代码执行攻击。目前开源社区已有漏洞PoC公开。

【影响版本】

Nginx + php-fpm 环境下，存在如下配置下会存在风险：

 location ~ [^/]\.php(/|$) {

        fastcgi_split_path_info ^(.+?\.php)(/.*)$;

        fastcgi_param PATH_INFO       $fastcgi_path_info;

        fastcgi_pass   php:9000;

        ...

  }

}

【修复建议】

由于漏洞利用需要Nginx+php-fpm环境，用户默认安装的配置不受影响，为确保安全，建议您检查本地 Nginx 配置文件

CentOS默认目录为/etc/nginx/nginx.conf

确认是否存在上述风险配置，如果存在，建议您找到并删除如下配置项：

fastcgi_split_path_info ^(.+?\.php)(/.*)$;

fastcgi_param PATH_INFO       $fastcgi_path_info;

【漏洞参考】

1）官方更新通告：

https://bugs.php.net/bug.php?id=78599

2）开源社区介绍：

https://github.com/neex/phuip-fpizdam/

关于云鼎实验室

腾讯安全云鼎实验室一直专注于云领域前沿安全技术研究与创新，以及云标准化与合规体系建设等工作。通过机器学习与大数据技术实时监测并分析各类风险信息，同时，云鼎实验室帮助客户抵御高级可持续攻击，并联合腾讯安全其他实验室进行安全漏洞的研究，确保云计算平台整体的安全性，且相关能力通过腾讯云开放出来。云鼎实验室在云安全领域的研究与实战积累，使得腾讯云能够为企业和创业者提供集云计算、云数据、云运营于一体的云端服务体验，同时也是最可信的安全防护平台之一。

➤推荐阅读

• 【内有福利】真实云上攻防10.24开战，探索产业安全新边界
• 全球首家！腾讯云隐私安全管理获ISO/IEC 27701:2019认证
• “高危”！腾讯发现云虚拟化平台逃逸漏洞
• 护航产业互联网，打造最安全的产业云
• 紧急预警丨威胁堪比永恒之蓝，微软高危RDP漏洞利用代码已被公布，请尽快修补！
• 重磅：2019上半年云安全趋势报告发布（附下载链接）
• 腾讯云上攻防战事（三）丨千里追凶，云上黑产虽远必诛
• 最高五万元现金！TSRC腾讯云业务安全专项今日开战
• 腾讯云上攻防战事（二）丨漏洞收敛，使敌不知其所攻
• 腾讯云上攻防战事（一）| 云上听风，不战而屈人之兵

关注云鼎实验室，获取更多安全情报

建议云上租户免费开通「安全运营中心」-安全情报，及时获取最新漏洞情报、修复方案及数据泄露情况，感知云上资产风险态势。点击“阅读原文”，即可免费开通。