当前位置:首页 > 漏洞预警 > 正文

PHP远程代码执行漏洞(CVE-2019-11043)预警

发布时间:2019-11-07 14:20:27,来源:中国信息通信研究院

      一、基本情况

PHP存在远程代码执行漏洞,CVE编号:CVE-2019-11043。该漏洞是由于不正确的Nginx+php-fpm配置,导致服务端在处理%0a时返回异常,攻击者利用该漏洞可进行远程代码执行。

      二、攻击原理

Nginx 上fastcgi_split_path_info 在处理带有 %0a 的请求时,会因为遇到换行符 \n 导致 PATH_INFO 为空。而 php-fpm 在处理 PATH_INFO 为空的情况下,存在逻辑缺陷。攻击者通过精心的构造和利用,可以导致远程代码执行。

该漏洞需要在nginx.conf中进行特定配置才能触发。具体配置如下::

image.png 

      三、 影响范围

受影响版本: 

1) PHP 7.0

2) PHP 7.1

3) PHP 7.2

4)  PHP 7.3

另外,PHP 5.6版本也受此漏洞影响,但目前只能Crash,不可以远程代码执行。

      四、处置建议

目前PHP官方已发布该漏洞补丁,请参考以下链接安装补丁:

https://bugs.php.net/patch-display.php?bug_id=78599&patch=0001-Fix-bug-78599-env_path_info-underflow-can-lead-to-RC.patch&revision=latest

      五、参考链接

1) https://bugs.php.net/bug.php?id=78599

2) https://wiki.php.net/cve