据外媒 Securityaffairs 近日披露,PHP7 中一个远程代码执行漏洞在野利用被发现,该漏洞名为 CVE-2019-11043。
10 月 22 日,安全专家 Omar Ganiev 通过 Twitter 宣布了 PHP-FPM (PHP 的 FastCGI 流程管理器)中“新补丁”远程代码执行漏洞。
并且,该研究人员还共享了 GitHub 存储库上发布的 PoC 代码的链接。
据悉,CVE-2019-11043 漏洞不需要使用特定技能即可接入服务器,它是 PHP-FPM 的 fpm_main.c 中的 env_path_info 下溢漏洞。
这意味着该问题仅影响启用 PHP-FPM 的 NGINX 服务器。
安全专家 Emil Lerner 于 2019 年 9 月 26 日首次将漏洞报告给 PHP 漏洞跟踪器,该漏洞也归功于研究人员 Andrew Danau。他在 2019 年 9 月的 Capture The Flag 竞赛中发现了该漏洞。
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。 CTF 竞赛模式具体分为以下三类:解题模式、攻防模式和混合模式。
Lerner 解释说,在网络服务器使用 nginx 和 PHP-FPM 的某些配置下,可以利用此漏洞实现远程代码执行。
“GitHub 库中包含的 PoC 脚本可以查询目标服务器,通过发送特定请求来确定它是否易受攻击。”一份分析报道这样写,“一旦确定易受攻击的目标,攻击者便可通过将 URL 中的’?a='附加到易受攻击的 Web 服务器来发送特定请求。”
10 月 24 日,PHP 维护人员发布了解决 CVE-2019-11043 漏洞的 PHP 7.3.11 (最新稳定版)和 PHP 7.2.24 (旧稳定版)。无疑,将 nginx 与 PHP-FPM 结合使用的管理员应尽快升级其安装。
此外,维护人员还提出了一种解决方法,包括通过加入 try_files 指令或使用 if 语句,例如 if(-f $uri)。
参考文章:
CVE-2019-11043 exposes Web servers using nginx and PHP-FPM to hack
评论