據(jù)外媒 ZDNet 的報道，PHP 7.x 中最近修復(fù)的一個遠程代碼執(zhí)行漏洞正被惡意利用，并會導(dǎo)致攻擊者控制服務(wù)器。編號為?CVE-2019-11043?的漏洞允許攻擊者通過向目標(biāo)服務(wù)器發(fā)送特制的 URL，即可在存在漏洞的服務(wù)器上執(zhí)行命令。漏洞利用的?PoC?代碼也已在 GitHub 上發(fā)布。

一旦確定了易受攻擊的目標(biāo)，攻擊者便可以通過在?URL 中附加?‘?a=’ 以發(fā)送特制請求到易受攻擊的 Web 服務(wù)器

僅 NGINX 服務(wù)器受影響

幸運的是，并非所有的 PHP Web 服務(wù)器都受到影響。據(jù)介紹，僅啟用了 PHP-FPM 的 NGINX 服務(wù)器容易受到攻擊。PHP-FPM 代表?FastCGI Process Manager，是具有某些附加功能的 PHP FastCGI 替代實現(xiàn)。它不是 nginx 的標(biāo)準(zhǔn)組件，但部分 Web 托管商仍會將其作為標(biāo)準(zhǔn) PHP 托管環(huán)境的一部分。

Web 托管商 Nextcloud 就是其中一個例子，該公司于10月24日向其客戶發(fā)出安全警告，督促客戶將 PHP 更新至最新版本?7.3.11?和?7.2.24，其中包含針對 CVE-2019-11043 漏洞的修復(fù)程序。另外，許多其他虛擬主機供應(yīng)商也被懷疑正在運行易受攻擊的 nginx + PHP-FPM 組合。

但是也有一些網(wǎng)站由于技術(shù)限制而無法更新 PHP，或無法從 PHP-FPM 切換到另一個 CGI 處理器。

修復(fù)建議

• 將 PHP 7.1.X 更新至 7.1.33?https://github.com/php/php-src/releases/tag/php-7.1.33
• 將 PHP 7.2.X 更新至 7.2.24?https://github.com/php/php-src/releases/tag/php-7.2.24
• 將 PHP 7.3.X 更新至 7.3.11?https://github.com/php/php-src/releases/tag/php-7.3.11

關(guān)于漏洞的詳細分析可查看?https://paper.seebug.org/1063/。