在9 月 14 日至 18 举办的 Real World CTF 中,国外安全研究员 Andrew Danau 在解决一道 CTF 题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常,疑似存在漏洞。
9 月 26 日,PHP 官方发布漏洞通告,其中指出:使用 Nginx + php-fpm 的服务器,在部分配置下,存在远程代码执行漏洞(CVE-2019-11043)。并且该配置已被广泛使用,危害较大。
漏洞 PoC 在 10 月 22 日公开。
漏洞描述
Nginx 上 fastcgi_split_path_info 在处理带有 %0a 的请求时,会因为遇到换行符 \n 导致 PATH_INFO 为空。而 php-fpm 在处理 PATH_INFO 为空的情况下,存在逻辑缺陷。攻击者通过精心的构造和利用,可以导致远程代码执行。
影响范围
Nginx + php-fpm 的服务器,在使用如下配置的情况下,都可能存在远程代码执行漏洞。
- location ~ [^/]\.php(/|$) {
- fastcgi_split_path_info ^(.+?\.php)(/.*)$;
- fastcgi_param PATH_INFO $fastcgi_path_info;
- fastcgi_pass php:9000;
- ...
- }
- }
复制代码
宝塔配置的nginx+php-fpm配置文件默认包含文件检查配置,不受此漏洞影响
宝塔的nginx+php配置如下:
- location ~ [^/]\.php(/|$)
- {
- try_files $uri =404;
- fastcgi_pass unix:/tmp/php-cgi-72.sock;
- fastcgi_index index.php;
- include fastcgi.conf;
- include pathinfo.conf;
- }
- >>pathinfo.conf code:
- set $real_script_name $fastcgi_script_name;
- if ($fastcgi_script_name ~ "^(.+?\.php)(/.+)$") {
- set $real_script_name $1;
- set $path_info $2;
- }
- fastcgi_param SCRIPT_FILENAME $document_root$real_script_name;
- fastcgi_param SCRIPT_NAME $real_script_name;
- fastcgi_param PATH_INFO $path_info;
复制代码
解决方案(宝塔配置的nginx+php-fpm不受此漏洞影响)
增加一行文件检查配置:
参考资料
https://bugs.php.net/bug.php?id=78599
https://lab.wallarm.com/php-remo ... world-ctf-exercise/
https://github.com/neex/phuip-fpizdam
|
|