关于PHP高危漏洞的温馨提示

尊敬的用户：

您好！

近 期 PHP 开发团队发布公告称，使用 Nginx + php-fpm 的服务器，在特定情况下，可能存在远程代码执行漏洞。该漏洞利用代码已于 10 月 22 日被公开。

事件概要 ：

事件名称

PHP 远程代码执行漏洞 （CVE-2019-11043）

威胁类型

远程代码执行

威胁等级：高

受影响的应用版本

Nginx + php-fpm 的服务器，在使用如下配置的情况下，都 可能存在远程代码执行漏洞。location ~ [^/].php(/|$) { fastcgi_split_path_info ^(.+?.php)(/.*)$; fastcgi_param PATH_INFO $fastcgi_path_ info; fastcgi_pass php:9000; ... }

漏洞描述：

Nginx 上 fastcgi_split_path_info 在处理带有%0a的请求时，会因为遇到换行符n导致 PATH_INFO 为空。而 php-fpm 在处理PATH_INFO为空的情况下，存在逻辑缺陷。攻击者通过 精心的构造和利用，可以进行远程代码执行。

处置建议：

1.排查所有的 Nginx + php-fpm 服务器是否按照前述方式配 置。2.近期不要使用 TeamViewer 远程工具进行远程；

2.在不影响正常业务的情况下，删除 Nginx 配置文件中的如 下配置：

fastcgi_split_path_info ^(.+?.php)(/.*)$; fastcgi_param PATH_INFO $fastcgi_path_i nfo

鉴于上述情况可能引发安全事件，易信科技提醒各客户关注此次事件，做好以下工作：

1.一旦发现立即断开被入侵的主机系统的网络连接，防止进一步危害；

2.留存相关日志信息

3.通过“解决方案”加固系统并通过检查确认无相关漏洞 后再恢复网络连接。

重庆世隆云计算科技有限公司
2019年10月26日