2019年10月23日,阿里云应急响应中心监控到php官方发布漏洞信息,披露php-fpm在特定nginx配置下可导致远程代码执行漏洞(CVE-2019-11043),目前Po6 M 0 6 o h 8 , wC已被披露,风险较大
漏洞描述
nginx 配置项 fastcgi_split_path_info 在R 9 ,处理F W E ] . G带有%0a 的请求时遇到换行符n 会导致 PATH_INFO 为空,进而导致特定的攻击请求会修改php-* , ~ Yfpm进程中的相关配置,在特殊配置情况下可导致远程代码执行漏洞,相关漏洞配置U @ t U *类似如下:
```
location ~ [^/].php(/|$) {
fastR q q [ Zcgi_split_path_info ^(.+?b J w I I m.php)(/.*)$;
f j , ! / Uastcgi_param PATH_U % S qINFO $fastcgi_path_info;
fastcgi_pass php:9000;
.T U p D E A M..
}
}
```
阿里云应急响应中心提醒php-fpmD V H b c V $ O M+nginx用户尽快排查nginx配置项并采取安全措施阻止漏洞r | + U P攻击。
漏洞评级
CVE-2019-11043中危
安全建议
删除或修改如下配置,防止.php之后可传入任意字符(可能会影响正常业务):
```
fastcgi_spq w f L o liT v E h + wt_path_infP ; n Q s ho ^(.+?.php)(/.*)$;
fastcgY s s ~ K ! Q Oi_param PATH_INFO $fastcgi_path_info;
```
相关链接
https://bugs.php.net/bug.php?id=78599
https://lab.wallarm.com/php-remote-code-execution-0-day-discoveredB V . [-in-real-world-ctf-exerciseC $ b U C ;/
我们会关注后续进展,请随时关注官F 5 ) u 9 y v D i方公告。
如有任何问题,可随时通过工单或服务电话95187联系反# 8 z &馈。
阿里云应急响J K % B :应中心
2019.10.23