【漏洞预警】php-fpm在特定nginx配置下远程代码执行漏洞(CVE-2019-11043)

2019年10月23日,阿里云应急响应中心监控到php官方发布漏洞信息,披露php-fpm在特定nginx配置下可导致远程代码执行漏洞(CVE-2019-11043),目前Po6 M 0 6 o h 8 , wC已被披露,风险较大

漏洞描述

nginx 配置项 fastcgi_split_path_info 在R 9 ,处理F W E ] . G带有%0a 的请求时遇到换行符n 会导致 PATH_INFO 为空,进而导致特定的攻击请求会修改php-* , ~ Yfpm进程中的相关配置,在特殊配置情况下可导致远程代码执行漏洞,相关漏洞配置U @ t U *类似如下:

```
location ~ [^/].php(/|$) {
fastR q q [ Zcgi_split_path_info ^(.+?b J w I I m.php)(/.*)$;
f j , ! / Uastcgi_param PATH_U % S qINFO       $fastcgi_path_info;
fastcgi_pass   php:9000;
.T U p D E A M..
}
}
```

阿里云应急响应中心提醒php-fpmD V H b c V $ O M+nginx用户尽快排查nginx配置项并采取安全措施阻止漏洞r | + U P攻击。

漏洞评级

CVE-2019-11043中危

安全建议

删除或修改如下配置,防止.php之后可传入任意字符(可能会影响正常业务):

```
fastcgi_spq w f L o liT v E h + wt_path_infP ; n Q s ho ^(.+?.php)(/.*)$;
fastcgY s s ~ K ! Q Oi_param PATH_INFO       $fastcgi_path_info;
```

相关链接

https://bugs.php.net/bug.php?id=78599

https://lab.wallarm.com/php-remote-code-execution-0-day-discoveredB V . [-in-real-world-ctf-exerciseC $ b U C ;/

我们会关注后续进展,请随时关注官F 5 ) u 9 y v D i方公告。

如有任何问题,可随时通过工单或服务电话95187联系反# 8 z &馈。

阿里云应急响J K % B :应中心

2019.10.23