zhema
Опытный user
- Регистрация
- 19 Окт 2019
- Сообщения
- 130
- Реакции
- 1
Данная проблема существует только на NGINX-серверах с включенным PHP-FPM.
В PHP 7 найдена серьёзная уязвимость (CVE-2019-11043), дающая злоумышленникам возможность удалённо выполнять команды на сервере, используя специально сформированный URL.
Эксперты сообщают, что этот баг уже активно используется в атаках. Провести атаку с помощью данной уязвимости достаточно легко, также проблема усугубляется тем, что ранее на этой неделе на портале GitHub был размещен PoC-код для определения уязвимых серверов. Как пояснили специалисты, обнаружив уязвимый сервер, «атакующий может отправить специально сформированные запросы, добавив '?a=' в URL».
Проблема присутствует исключительно на NGINX-серверах с включенным PHP-FPM (программный пакет для обработки скриптов на языке PHP). Уязвимыми являются конфигурации nginx, где проброс в PHP-FPM осуществляется c разделением частей URL при помощи "fastcgi_split_path_info" и определением переменной окружения PATH_INFO, но без предварительной проверки существования файла директивой "try_files $fastcgi_script_name" или конструкцией "if (!-f $document_root$fastcgi_script_name)".
Пример уязвимой конфигурации:
В описании уязвимости указывается: «С помощью специально сформированного URL атакующий может добиться смещения указателя path_info на первый байт структуры _fcgi_data_seg. Запись нуля в этот байт приведет к перемещению указателя `char* pos` на ранее идущую область памяти, вызываемый следом FCGI_PUTENV перезаписывает некоторые данные (включая другие переменные ast cgi)». С помощью данной техники злоумышленник может создать фиктивную переменную PHP_VALUE fcgi и добиться выполнения кода.
Разработчики выпустили патч для устранения уязвимости в эту пятницу (25 октября). Всем пользователям настоятельно рекомендуется обновиться до новейших версий PHP 7.3.11 и PHP 7.2.24.
В PHP 7 найдена серьёзная уязвимость (CVE-2019-11043), дающая злоумышленникам возможность удалённо выполнять команды на сервере, используя специально сформированный URL.
Эксперты сообщают, что этот баг уже активно используется в атаках. Провести атаку с помощью данной уязвимости достаточно легко, также проблема усугубляется тем, что ранее на этой неделе на портале GitHub был размещен PoC-код для определения уязвимых серверов. Как пояснили специалисты, обнаружив уязвимый сервер, «атакующий может отправить специально сформированные запросы, добавив '?a=' в URL».
Проблема присутствует исключительно на NGINX-серверах с включенным PHP-FPM (программный пакет для обработки скриптов на языке PHP). Уязвимыми являются конфигурации nginx, где проброс в PHP-FPM осуществляется c разделением частей URL при помощи "fastcgi_split_path_info" и определением переменной окружения PATH_INFO, но без предварительной проверки существования файла директивой "try_files $fastcgi_script_name" или конструкцией "if (!-f $document_root$fastcgi_script_name)".
Пример уязвимой конфигурации:
В описании уязвимости указывается: «С помощью специально сформированного URL атакующий может добиться смещения указателя path_info на первый байт структуры _fcgi_data_seg. Запись нуля в этот байт приведет к перемещению указателя `char* pos` на ранее идущую область памяти, вызываемый следом FCGI_PUTENV перезаписывает некоторые данные (включая другие переменные ast cgi)». С помощью данной техники злоумышленник может создать фиктивную переменную PHP_VALUE fcgi и добиться выполнения кода.
Разработчики выпустили патч для устранения уязвимости в эту пятницу (25 октября). Всем пользователям настоятельно рекомендуется обновиться до новейших версий PHP 7.3.11 и PHP 7.2.24.
