漏洞描述:
9 月 26 日,PHP 官方釋出漏洞通告,其中指出,使用 Nginx + php-fpm 的伺服器,在預設的配置下,存在遠端程式碼執行漏洞。並且該預設配置已被廣泛使用,危害較大,目前PoC已經公開,如有使用 Nginx + php-fpm 的伺服器請抓緊修復。
Nginx + php-fpm 的伺服器,在使用如下配置的情況下,都可能存在遠端程式碼執行漏洞。
location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
...
}
}修復方案:
在不影響正常業務的情況下,刪除 Nginx 配置檔案中的如下配置:
fastcgi_split_path_info ^(.+?.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
參考連結:
https://bugs.php.net/bug.php?id=78599
https://github.com/neex/phuip-fpizdam
本作品採用《CC 協議》,轉載必須註明作者和本文連結