文章目录
[+]
网络安全
近日,山石网科安全研究院监测创造PHPStudy Windows最新版本存在nginx解析漏洞,可以造成任意代码实行。
一、漏洞情形
(图片来自网络侵删)
phpStudy是一个PHP调试环境的程序集成包,该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可利用。2019年9月,该软件包遭遇供应链攻击,黑客在phpStudy集成软件包植入后门,污染多个软件下载源,掌握数十万台机器。本次爆出的漏洞是nginx的解析漏洞,也便是存在已久的/xx.php解析漏洞。攻击者可通过网站的上传接口上传伪装成正常文件(比如图片、文档等)的恶意代码,从而获取做事器的权限。
二、影响范围
phpStudy <=8.1.0.7 for Windows,Linux版本不受此漏洞影响。
三、处置建议
目前该漏洞尚未修复,请受影响用户密切关注phpStudy官方的版本更新以修复漏洞。
临时办理方案:
(一)手动将php.ini中的cgi.fix_pathinfo选项置为0;
(二)fastcgi.conf中定义try_files$fastcgi_script_name =404。
附件:参考链接:https://www.xp.cn/wenda/50191.html
