最新消息:XAMPP默认安装之后是很不安全的,我们只需要点击左方菜单的 "安全"选项,按照向导操作即可完成安全设置。

PHP-FPM在Nginx配置错误任意代码执行(CVE-2019-11043)漏洞预警

XAMPP案例 中文小张 113浏览 0评论

漏洞简介
严重程度:高
CVE编号:CVE-2019-11043

影响版本:存在错误配置

漏洞危害
在Real World CTF中,国外安全研究员Andrew Danau在解决一道CTF题目时发现,向目标服务器URL发送%0a符号时,服务返回异常,疑似存在漏洞。经过研判在使用一些有错误的Nginx配置的情况下,通过恶意构造的数据包,即可让PHP-FPM执行任意代码。

漏洞详情
当Nginx使用特定的fastcgi配置时,存在远程代码执行漏洞,但这个配置并非Nginx默认配置。当fastcgi_split_path_info字段被配置为 ^(.+?\.php)(/.*)$;时,攻击者可以通过精心构造的payload,造成远程代码执行漏洞,该配置已被广泛使用,危害较大。

Nginx+php-fpm的服务器,在使用如下配置的情况下,都可能存在远程代码执行漏洞:

location ~ [^/]\.php(/|$) {

fastcgi_split_path_info ^(.+?\.php)(/.*)$;

fastcgi_param PATH_INFO       $fastcgi_path_info;

fastcgi_pass   php:9000;

}

漏洞复现:
修复建议
1.使用github中的最新的PHP版本,下载地址:

https://github.com/php/php-src

2.如果业务不需要以下配置,建议用户删除:

fastcgi_split_path_info ^(.+?\.php)(/.*)$;

fastcgi_param PATH_INFO       $fastcgi_path_info;

3.修改 nginx 配置文件中fastcgi_split_path_info的正则表达式,不允许.php之后传入不可显字符。

转载请注明:XAMPP中文组官网 » PHP-FPM在Nginx配置错误任意代码执行(CVE-2019-11043)漏洞预警