【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

PHP7 被曝出一个远程执行代码漏洞

  • 2019-10-28
  • 本文字数:718 字

    阅读完需:约 2 分钟

PHP7被曝出一个远程执行代码漏洞

据外媒 Securityaffairs 近日披露,PHP7 中一个远程代码执行漏洞在野利用被发现,该漏洞名为 CVE-2019-11043。



10 月 22 日,安全专家 Omar Ganiev 通过 Twitter 宣布了PHP-FPM(PHP 的 FastCGI 流程管理器)中“新补丁”远程代码执行漏洞。


并且,该研究人员还共享了 GitHub 存储库上发布的 PoC 代码的链接



据悉,CVE-2019-11043 漏洞不需要使用特定技能即可接入服务器,它是 PHP-FPM 的fpm_main.c中的 env_path_info 下溢漏洞。


这意味着该问题仅影响启用 PHP-FPM 的 NGINX 服务器。


安全专家 Emil Lerner 于 2019 年 9 月 26 日首次将漏洞报告给 PHP 漏洞跟踪器,该漏洞也归功于研究人员 Andrew Danau。他在 2019 年 9 月的 Capture The Flag 竞赛中发现了该漏洞。


CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。 CTF 竞赛模式具体分为以下三类:解题模式、攻防模式和混合模式。


Lerner 解释说,在网络服务器使用 nginx 和 PHP-FPM 的某些配置下,可以利用此漏洞实现远程代码执行。


“GitHub 库中包含的 PoC 脚本可以查询目标服务器,通过发送特定请求来确定它是否易受攻击。”一份分析报道这样写,“一旦确定易受攻击的目标,攻击者便可通过将 URL 中的’?a='附加到易受攻击的 Web 服务器来发送特定请求。”


10 月 24 日,PHP 维护人员发布了解决 CVE-2019-11043 漏洞的PHP 7.3.11(最新稳定版)和PHP 7.2.24(旧稳定版)。无疑,将 nginx 与 PHP-FPM 结合使用的管理员应尽快升级其安装。


此外,维护人员还提出了一种解决方法,包括通过加入 try_files 指令或使用 if 语句,例如 if(-f $uri)。


参考文章:


CVE-2019-11043 exposes Web servers using nginx and PHP-FPM to hack


2019-10-28 10:133828
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 333.4 次阅读, 收获喜欢 1794 次。

关注

评论

发布
暂无评论
发现更多内容

细节爆炸!腾讯用13个案例实战讲明白MySQL,没想到这么全

996小迁

Java MySQL 架构 面试 程序人生

Serverless 在 SaaS 领域的最佳实践

阿里巴巴云原生

云计算 阿里云 开发者 云原生 消息中间件

架构师第七周总结

Geek_xq

感谢 Gridea,让我有动力写作

和牛

程序员

喜提offer!支付宝Java研发岗四面,从基础到项目在到架构与业务

Java架构之路

Java 程序员 架构 面试 编程语言

联通链:5G时代的信任链

CECBC

中国联通

把成员变量转换成局部变量会更快吗?

雨后小溪

Java

【架构师训练营】大作业一:快递架构设计

MindController

架构设计 架构师

趣店容器进化史

ZoaChou

容器 k8s

程序员如何让自己更快的废掉?

冰河

程序员 程序人生 规划 职业生涯

使用 Jenkins + Docker 构建与部署 Serverless 应用

donghui

Docker Serverless jenkins

公安一体化警务,合成指挥作战平台搭建

t13823115967

智慧公安

[架构师训练营第 1 期] 大作业(二):架构师技术知识导图

猫切切切切切

架构师必会知识大合集:五位架构师手写于西溪园区的技术使用心得

Java架构之路

Java 程序员 架构 面试 编程语言

SpringCloud 从入门到精通 03---自动生成数据模型

Felix

第十届中国云计算标准和应用大会落幕 灵雀云Kube-OVN斩获优秀开源项目奖

York

灵雀云 Kubernetes k8s Kube-OVN

Linux Socket 编程

赖猫

c++ Linux linux编程 linux运维 linux开发

Junit4 Rules 使用

hungxy

Java JUnit

【架构师训练营】大作业二:架构知识总结

MindController

总结 架构师 架构师训练营第 1 期

聚焦产业链供应链 拓展数字经济新空间

CECBC

数字经济 企业融资

[架构师训练营第 1 期] 大作业(一):通达系统概要设计图

猫切切切切切

关于拼多多价值的思考

.

28天写作

用 JSX 建立组件 Parser(解析器)

三钻

JavaScript 大前端 组件化

2020,云计算这一年

脑极体

三无小区整改,平安小区智能化管理平台搭建

t13823115967

智慧社区管理平台开发

用户体验提升计划:前端性能检测清单2021

知识乞丐

大前端 28天写作

爱了! Alibaba技术官甩出的“阿里内部Java成长笔记”,差距对比真的是不止一点点

Java架构之路

Java 程序员 架构 面试 编程语言

一文读懂HTML和CSS的关系

博文视点Broadview

【得物技术】App需要什么样移动网关

得物技术

App 后端 网关 得物技术 移动端

邹平打造区块链生态环境监管体系

CECBC

区块链 生态环境

精选算法面试-链表(反转)

李孟聊AI

算法 链表 28天写作

PHP7被曝出一个远程执行代码漏洞_安全_万佳_InfoQ精选文章