1.综述
年9月14日至18举办的RealWorldCTF中,国外安全研究员AndrewDanau在解决一道CTF题目时发现,向目标服务器URL发送%0a符号时,服务返回异常,疑似存在漏洞。
年9月26日,PHP官方发布漏洞通告,其中指出:使用Nginx+php-fpm的服务器,在部分配置下,存在远程代码执行漏洞.且该配置已被广泛使用,危害较大,影响较为广泛。
年10月22日,该PHP远程代码执行的漏洞利用POC被公开在github上。
Nginx与php-fpm服务器上存在远程代码执行漏洞,由于Nginx的fastcgi_split_path_info模块在处理带%0a的请求时,对换行符\n处置不当使得将PATH_INFO值置为空,从而导致php-fpm在处理PATH_INFO时存在漏洞,攻击者通过精心的构造和利用,可以导致远程代码执行。
该漏洞存在于php上。Nginx在0.7.31之后版本才存在fastcgi_split_path_info这个指令。另外经过poc验证,php5.4版本未受影响,php5.6以上版本会造成服务崩溃,php7.0以上版本可以执行远程命令执行。
2.漏洞概述
漏洞类型:远程代码执行漏洞
危险等级:高危
利用条件:nginx配置了fastcgi_split_path_info
受影响系统:PHP5.6-7.x,Nginx=0.7.31
3.漏洞编号
CVE--PHP远程代码执行漏洞
4.漏洞描述
Nginx与php-fpm服务器上存在远程代码执行漏洞,由于Nginx的fastcgi_split_path_info模块在处理带%0a的请求时,对换行符\n处置不当使得将PATH_INFO值置为空,从而导致php-fpm组件在处理PATH_INFO时存在漏洞,攻击者通过精心的构造和利用,可以导致远程代码执行。
5.修复建议
1).补丁包修复方案:
目前官方尚未发布修复漏洞的补丁包,将于当地时间24日进行发布,请随时