PHP 远程代码执行漏洞 (CVE-2019-11043)

发布者:王宇发布时间:2019-10-26浏览次数:218

近期,Nginx+php-fpm环境下PHP被曝出存在远程代码执行漏洞(CVE-2019-11043)。应该最初在9月14日至18日举办的Real World CTF中,国外安全研究员Andrew Danau在解决一道CTF题目时发现,向目标服务器URL发送%0a符号时,服务返回异常,疑似存在漏洞;9月26日,PHP官方发布漏洞通告,其中指出:使用Nginx+php-fpm的服务器,在部分配置下,存在远程代码执行漏洞。并且该配置已被广泛使用,危害较大。该漏洞PoC(就是利用该漏洞的源代码)已经在10月22日公开。请存在类似PHP环境的信息系统和网站管理员尽快处置,避免出现网络安全事件。


以下信息来自:长亭科技的长亭安全课堂公众号。


漏洞描述:Nginx上fastcgi_split_path_info在处理带有%0a的请求时,会因为遇到换行符\n导致PATH_INFO为空。而php-fpm在处理PATH_INFO为空的情况下,存在逻辑缺陷。攻击者通过精心的构造和利用,可以导致远程代码执行。


影响范围:

Nginx+php-fpm的服务器,在使用如下配置的情况下,都可能存在远程代码执行漏洞。


 location ~ [^/]\.php(/|$) {

        fastcgi_split_path_info ^(.+?\.php)(/.*)$;

        fastcgi_param PATH_INFO       $fastcgi_path_info;

        fastcgi_pass   php:9000;

        ...

  }

}


解决方案:

在不影响正常业务的情况下,删除 Nginx 配置文件中的如下配置:

fastcgi_split_path_info ^(.+?\.php)(/.*)$;

fastcgi_param PATH_INFO       $fastcgi_path_info;


参考资料:

·https://bugs.php.net/bug.php?id=78599

·https://lab.wallarm.com/php-remote-code-execution-0-day-discovered-in-real-world-ctf-exercise/

·https://github.com/neex/phuip-fpizdam