PHP-FPM 是一个PHPFastCGI管理器,可为用 PHP 编程语言编写的脚本提供高级且高效的处理。
主要漏洞是 PHP-FPM 模块中的“ env_path_info”下溢内存损坏问题,攻击者可能借助这个漏洞在易受攻击的 Web 服务器上远程执行任意代码。
尽管公开发布的PoC漏洞专门针对运行PHP 7+版本的易受攻击的服务器,但PHP-FPM下溢错误也影响到了早期的PHP版本,并且可以采用其他方式进行武器化。
简而言之,如果存在以下情况,则网站容易受到攻击:
NGINX经过配置,会将PHP页面请求转发到PHP-FPM处理器,
fastcgi_split_path_info指令存在于配置中,并且是以’^’符号开头和以’$’符号结尾的正则表达式,
PATH_INFO变量是使用fastcgi_param指令定义的,
没有诸如try_files $ uri = 404或if(-f $ uri)之类的检查来确定文件是否存在。
受影响的提供商之一就是Nextcloud,该公司昨天发布通知,警告其用户“Nextcloud NGINX的默认配置也会受到此漏洞影响”,并建议管理员立即采取行动。
在专家们向PHP开发人员小组报告该漏洞近一个月后,该漏洞补丁已于10月25号发布。
即使当前的配置不会受到攻击,用户也最好将PHP更新到最新的PHP 7.3.11和PHP 7.2.24。