PHP-FPM在Nginx配置错误任意代码执行(CVE-2019-11043)漏洞预警

时间:2019-10-24 13:34:13来源:信息安全服务部作者:梦之想科技

漏洞简介


严重程度:高

CVE编号:CVE-2019-11043

影响版本:存在错误配置


漏洞危害


在Real World CTF中,国外安全研究员Andrew Danau在解决一道CTF题目时发现,向目标服务器URL发送%0a符号时,服务返回异常,疑似存在漏洞。经过研判在使用一些有错误的Nginx配置的情况下,通过恶意构造的数据包,即可让PHP-FPM执行任意代码。


漏洞详情


当Nginx使用特定的fastcgi配置时,存在远程代码执行漏洞,但这个配置并非Nginx默认配置。当fastcgi_split_path_info字段被配置为 ^(.+?\.php)(/.*)$;时,攻击者可以通过精心构造的payload,造成远程代码执行漏洞,该配置已被广泛使用,危害较大。

Nginx+php-fpm的服务器,在使用如下配置的情况下,都可能存在远程代码执行漏洞:

location ~ [^/]\.php(/|$) {

     fastcgi_split_path_info ^(.+?\.php)(/.*)$;

     fastcgi_param PATH_INFO       $fastcgi_path_info;

     fastcgi_pass   php:9000;

     ...

}


漏洞复现:

image.png


image.png


修复建议


1.使用github中的最新的PHP版本,下载地址:

https://github.com/php/php-src

2.如果业务不需要以下配置,建议用户删除:

fastcgi_split_path_info ^(.+?\.php)(/.*)$;

        fastcgi_param PATH_INFO       $fastcgi_path_info;

3.修改 nginx 配置文件中fastcgi_split_path_info的正则表达式,不允许.php之后传入不可显字符。