一、概要

近日，華為云安全團(tuán)隊(duì)關(guān)注到PHP官方披露了一個(gè)嚴(yán)重級(jí)別的遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2019-11043）。同時(shí)使用Nginx和php-fpm的服務(wù)器，在部分配置下存在邏輯缺陷，攻擊者可利用缺陷實(shí)施遠(yuǎn)程代碼執(zhí)行攻擊。目前漏洞POC已公開(kāi)，風(fēng)險(xiǎn)較高。

參考鏈接：

https://bugs.php.net/bug.php?id=78599

https://github.com/neex/phuip-fpizdam/

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞排查

滿足以下兩個(gè)條件，則受漏洞影響：

1、同時(shí)使用了php-fpm和nginx，且php-fpm為開(kāi)啟狀態(tài)（默認(rèn)是關(guān)閉狀態(tài)）；

2、nginx配置文件中存在以下內(nèi)容：

location ~ [^/].php(/|$) {

        fastcgi_split_path_info ^(.+?.php)(/.*)$;

        fastcgi_param PATH_INFO       $fastcgi_path_info;

        fastcgi_pass   php:9000;

        ...

  }

} 

四、處置方案

在不影響正常業(yè)務(wù)的情況下，刪除上述存在風(fēng)險(xiǎn)的Nginx配置或者暫停使用Nginx+php-fpm的環(huán)境。

華為云WAF內(nèi)置策略支持防護(hù)，使用華為云WAF的用戶僅需確認(rèn)攔截模式開(kāi)啟即可，無(wú)需其他配置。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。