2019年10月23日,阿里云应急响应中心监控到php官方发布漏洞信息,披露php-fpm在特定nginx配置下可导致远程代码执行漏洞(CVE-2019-11043),目前PoC已被披露,风险较大
漏洞描述
nginx 配置项 fastcgi_split_path_info 在处理带有 %0a 的请求时遇到换行符 \n 会导致 PATH_INFO 为空,进而导致特定的攻击请求会修改php-fpm进程中的相关配置,在特殊配置情况下可导致远程代码执行漏洞,相关漏洞配置类似如下:
```
location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
...
}
}
```
阿里云应急响应中心提醒php-fpm+nginx用户尽快排查nginx配置项并采取安全措施阻止漏洞攻击。
漏洞评级
CVE-2019-11043 中危
安全建议
删除或修改如下配置,防止.php之后可传入任意字符(可能会影响正常业务):
```
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
```
相关链接
https://bugs.php.net/bug.php?id=78599
https://lab.wallarm.com/php-remote-code-execution-0-day-discovered-in-real-world-ctf-exercise/
我们会关注后续进展,请随时关注官方公告。
如有任何问题,可随时通过工单或服务电话95187联系反馈。
阿里云应急响应中心
2019.10.23
你好,我是AI助理
可以解答问题、推荐解决方案等