據外媒Securityaffairs近日披露,PHP7中一個遠程代碼執行漏洞在野利用被發現,該漏洞名爲CVE-2019-11043。
10月22日,安全專家Omar Ganiev通過Twitter宣佈了PHP-FPM(PHP的FastCGI流程管理器)中“新補丁”遠程代碼執行漏洞。
並且,該研究人員還共享了GitHub存儲庫上發佈的PoC代碼的鏈接。
據悉,CVE-2019-11043漏洞不需要使用特定技能即可接入服務器,它是PHP-FPM的fpm_main.c中的env_path_info下溢漏洞。
這意味着該問題僅影響啓用PHP-FPM的NGINX服務器。
安全專家Emil Lerner於2019年9月26日首次將漏洞報告給PHP漏洞跟蹤器,該漏洞也歸功於研究人員Andrew Danau。他在2019年9月的Capture The Flag競賽中發現了該漏洞。
CTF(Capture The Flag)中文一般譯作奪旗賽,在網絡安全領域中指的是網絡安全技術人員之間進行技術競技的一種比賽形式。 CTF競賽模式具體分爲以下三類:解題模式、攻防模式和混合模式。
Lerner解釋說,在網絡服務器使用nginx和PHP-FPM的某些配置下,可以利用此漏洞實現遠程代碼執行。
“GitHub庫中包含的PoC腳本可以查詢目標服務器,通過發送特定請求來確定它是否易受攻擊。”一份分析報道這樣寫,“一旦確定易受攻擊的目標,攻擊者便可通過將URL中的’?a='附加到易受攻擊的Web服務器來發送特定請求。”
10月24日,PHP維護人員發佈瞭解決CVE-2019-11043漏洞的PHP 7.3.11(最新穩定版)和PHP 7.2.24(舊穩定版)。無疑,將nginx與PHP-FPM結合使用的管理員應儘快升級其安裝。
此外,維護人員還提出了一種解決方法,包括通過加入try_files指令或使用if語句,例如if(-f $uri)。
參考文章:
CVE-2019-11043 exposes Web servers using nginx and PHP-FPM to hack