?

綠盟科技

400-818-6868

安全研究

威脅通告
【安全威脅通告】php-fpm遠程代碼執行漏洞(CVE-2019-11043)

綜述


   近日,國外安全研究員公布了一個存在于php-fpm中的漏洞(CVE-2019-11043),在某些特定Nginx配置中,該漏洞可能會導致遠程代碼執行。

漏洞存在于文件sapi/fpm/fpm/fpm_main.c(https://github.com/php/php-src/blob/master/sapi/fpm/fpm/fpm_main.c#L1140),其中假設env_path_info的前綴等于php腳本的路徑,但是實際上代碼不會檢查此假設是否滿足,缺少該檢查會導致“path_info”變量中的指針無效。當在某些Nginx配置中,攻擊者可以使用換行符(編碼格式為%0a)來破壞`fastcgi_split_path_info`指令中的regexp,regexp損壞將導致空PATH_INFO,從而觸發該漏洞。

據了解,該漏洞是研究員Andrew Danau在一場CTF比賽過程中偶然發現的,當他向服務器URL發送%0a時,服務器返回異常深入研究后發現此漏洞。

參考連接:

https://lab.wallarm.com/php-remote-code-execution-0-day-discovered-in-real-world-ctf-exercise/



受影響版本


  nginx + php-fpm環境中,使用如下nginx配置,所有PHP 7+版本均受影響(PHP 7.0、PHP 7.1、PHP 7.2、PHP 7.3),且目前在PHP 5.6版本上也可造成崩潰。

特定的nginx配置如下:

  location ~ [^/]\.php(/|$) {

       fastcgi_split_path_info ^(.+?\.php)(/.*)$;

       fastcgi_param PATH_INFO      $fastcgi_path_info;

       fastcgi_pass  php:9000;

       ...

 }

}



安全建議  


1、PHP官方已于10月12號發布補丁,詳情參考鏈接,建議受影響用戶升級進行修復。

2、檢查nginx配置,如果存在上述易受攻擊配置,建議刪除

fastcgi_split_path_info ^(.+?\.php)(/.*)$;

fastcgi_param PATH_INFO       $fastcgi_path_info;

參考鏈接:

https://bugs.php.net/patch-display.php?bug_id=78599&patch=0001-Fix-bug-78599-env_path_info-underflow-can-lead-to-RC.patch&revision=latest



聲 明

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。


關于綠盟科技

北京神州綠盟信息安全科技股份有限公司(簡稱綠盟科技)成立于2000年4月,總部位于北京。在國內外設有30多個分支機構,為政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶,提供具有核心競爭力的安全產品及解決方案,幫助客戶實現業務的安全順暢運行。

基于多年的安全攻防研究,綠盟科技在網絡及終端安全、互聯網基礎安全、合規及安全管理等領域,為客戶提供入侵檢測/防護、抗拒絕服務攻擊、遠程安全評估以及Web安全防護等產品以及專業安全服務。

北京神州綠盟信息安全科技股份有限公司于2014年1月29日起在深圳證券交易所創業板上市,股票簡稱:綠盟科技,股票代碼:300369。


瀏覽次數:

關 閉
网上通比牛牛有技巧吗