9月14日至18举办的RealWorldCTF
中,国外安全研究员AndrewDanau
在解决一道CTF
题目时发现,向目标服务器URL
发送%0a
符号时,服务返回异常,疑似存在漏洞。9月26日,PHP
官方发布漏洞通告,其中指出:使用Nginx+php-fpm
的服务器,在部分配置下,存在远程代码执行漏洞(CVE-2019-11043
)。并且该配置已被广泛使用,危害较大。漏洞PoC
在10月22日公开。
Nginx
上fastcgi_split_path_info
在处理带有%0a
的请求时,会因为遇到换行符\n
导致PATH_INFO
为空。而php-fpm
在处理PATH_INFO
为空的情况下,存在逻辑缺陷。攻击者通过精心的构造和利用,可以导致远程代码执行。
Nginx+php-fpm
的服务器,在使用如下配置的情况下,都可能存在远程代码执行漏洞。
location ~ [^/]\.php(/|$) { fastcgi_split_path_info ^(.+?\.php)(/.*)$; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_pass php:9000; ... } }
另外,PHP 5.6
版本也受此漏洞影响,但目前只能Crash
,不可以远程代码执行:
PHP 7.0 版本 PHP 7.1 版本 PHP 7.2 版本 PHP 7.3 版本
宝塔配置的Nginx+php-fpm
配置文件默认包含文件检查配置,不受此漏洞影响。
location ~ [^/]\.php(/|$) { try_files $uri =404; fastcgi_pass unix:/tmp/php-cgi-72.sock; fastcgi_index index.php; include fastcgi.conf; include pathinfo.conf; } >>pathinfo.conf code: set $real_script_name $fastcgi_script_name; if ($fastcgi_script_name ~ "^(.+?\.php)(/.+)$") { set $real_script_name $1; set $path_info $2; } fastcgi_param SCRIPT_FILENAME $document_root$real_script_name; fastcgi_param SCRIPT_NAME $real_script_name; fastcgi_param PATH_INFO $path_info;
服务器环境为nginx php-fpm
,并且nginx
的配置像下面这样
location ~ [^/]\.php(/|$) { ... fastcgi_split_path_info ^(. ?\.php)(/.*)$; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_pass php:9000; ... }
(宝塔配置的nginx+php-fpm
不受此漏洞影响)在nginx
中增加一行文件检查配置:
try_files $uri =404;
所以正确的配置就是这样的;
location ~ [^/]\.php(/|$) { try_files $uri =404; fastcgi_pass unix:/tmp/php-cgi-72.sock; fastcgi_index index.php; include fastcgi.conf; include pathinfo.conf; }
如下图:宝塔配置的nginx+php-fpm
配置文件默认包含文件检查配置,不受此漏洞影响,如果你是lnmp
,oneinstack
可以看看自己配置这个环境的时候有没有增加检查配置文件的代码。
参考资料
本文由 podipod软库网 作者:DevOps 发表,转载请注明来源!