PHP是构建网络最常见的编程措辞。
PHP 7作为其全新的分支以冲破统统、性能翻倍吸引浩瀚用户。
然而其近期被曝存在安全漏洞,可导致做事器被接管。
漏洞先容
近日,PHP官方公布了一个高危漏洞,一旦被黑客利用,做事器就会被黑客掌握。
该漏洞名称是CVE-2019-11043,类型是RCE(远程代码实行),严重级别是高危。
PHP官方指出利用NGINX搭载PHP FPM的组合时,在部分配置下,存在漏洞被利用的风险,并且目前该配置利用广泛,因此该漏洞影响范围很大。
PHP-FPM是另一种PHP FastCGI实现,可为用PHP编程措辞编写的脚本供应高等且高效的处理。
漏洞紧张存在于PHP-FPM中的“ env_path_info”内存破坏问题,使攻击者能够在易受攻击的Web做事器上远程实行任意代码。
幸运的是,并非所有支持PHP的做事器都受到影响,仅启用了PHP-FPM的 NGINX做事器随意马虎受到攻击。
攻击详情
Nginx 上 fastcgi_split_path_info 在处理带有 %0a 的要求时,会由于碰着换行符 \n 导致 PATH_INFO 为空。而 php-fpm 在处理 PATH_INFO 为空的情形下,存在逻辑毛病。
攻击者通过精心的布局和利用,可以进行远程代码实行攻击。写入一个Webshell到网站目录下,从而开启后门创建。
大略地说,如果存在如下情形,则随意马虎受到攻击:
NGINX配置为将PHP页面要求转发到PHP-FPM处理器fastcgi_split_path_info指令存在于配置中,并且包含以'^'符号开头和以'$'符号结尾的正则表达式PATH_INFO变量是利用fastcgi_param指令定义的没有诸如try_files $ uri = 404或if(-f $ uri)之类的检讨来确定文件是否存在。PHP官方公告:
https://bugs.php.net/bug.php?id=78599
漏洞复现:
https://github.com/vulhub/vulhub/blob/master/php/CVE-2019-11043/README.md
漏洞exp:
https://github.com/neex/phuip-fpizdam
PHP官方发布最新版本7.3.11和7.2.24,个中包含针对CVE-2019-11043的修复程序。
受此事影响,许多其他虚拟主机供应商也被疑惑正在运行易受攻击的Nginx + PHP-FPM组合。
由于公共PoC代码存在,利用此漏洞将十分随意马虎,因此建议网站所有者在运行时检讨做事器配置并尽快更新PHP。
本文由看雪编辑 LYA 编译自 The Hacker News,转载请注明来源及作者。
