PHP7被曝出一个远程执行代码漏洞

据外媒Securityaffairs近日披露，PHP7中一个远程代码执行漏洞在野利用被发现，该漏洞名为CVE-2019-11043。

10月22日，安全专家Omar Ganiev通过Twitter宣布了PHP-FPM（PHP的FastCGI流程管理器）中“新补丁”远程代码执行漏洞。

并且，该研究人员还共享了GitHub存储库上发布的PoC代码的链接。

据悉，CVE-2019-11043漏洞不需要使用特定技能即可接入服务器，它是PHP-FPM的fpm_main.c中的env_path_info下溢漏洞。

这意味着该问题仅影响启用PHP-FPM的NGINX服务器。

安全专家Emil Lerner于2019年9月26日首次将漏洞报告给PHP漏洞跟踪器，该漏洞也归功于研究人员Andrew Danau。他在2019年9月的Capture The Flag竞赛中发现了该漏洞。

CTF（Capture The Flag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。 CTF竞赛模式具体分为以下三类：解题模式、攻防模式和混合模式。

Lerner解释说，在网络服务器使用nginx和PHP-FPM的某些配置下，可以利用此漏洞实现远程代码执行。

“GitHub库中包含的PoC脚本可以查询目标服务器，通过发送特定请求来确定它是否易受攻击。”一份分析报道这样写，“一旦确定易受攻击的目标，攻击者便可通过将URL中的’?a='附加到易受攻击的Web服务器来发送特定请求。”

10月24日，PHP维护人员发布了解决CVE-2019-11043漏洞的PHP 7.3.11（最新稳定版）和PHP 7.2.24（旧稳定版）。无疑，将nginx与PHP-FPM结合使用的管理员应尽快升级其安装。

此外，维护人员还提出了一种解决方法，包括通过加入try_files指令或使用if语句，例如if(-f $uri)。

参考文章：

CVE-2019-11043 exposes Web servers using nginx and PHP-FPM to hack