安全專家宣布PHP遠程代碼執(zhí)行漏洞2019年9月首次將漏洞
2021-08-27
據(jù)外媒近日披露,在野外發(fā)現(xiàn)了一個PHP7遠程執(zhí)行代碼漏洞,該漏洞命名為CVE-2019-。
10 月 22 日,安全專家奧馬爾通過了 PHP-FPM(PHP 的進程管理器)中的“新補丁”遠程代碼執(zhí)行漏洞的公告。
此外,研究人員還分享了一個指向在存儲庫上發(fā)布的 PoC 代碼的鏈接。
據(jù)悉,CVE-2019-漏洞無需使用特定技能即可訪問服務(wù)器。這是 PHP-FPM 中的下溢漏洞。
這意味著該問題僅影響啟用了 PHP-FPM 的服務(wù)器。
安全專家 Emil 于 2019 年 9 月 26 日首次向 PHP 漏洞跟蹤器報告了該漏洞,該漏洞也歸因于研究人員。他在 2019 年 9 月的 The Flag 比賽中發(fā)現(xiàn)了該漏洞。
CTF(The Flag)中文一般譯為奪旗。在網(wǎng)絡(luò)安全領(lǐng)域,是指網(wǎng)絡(luò)安全技術(shù)人員之間進行技術(shù)競爭的一種形式。 CTF競賽模式分為以下三類:解題模式、攻防模式、混合模式。
說明在Web服務(wù)器和PHP-FPM的某些配置下,可以利用該漏洞實現(xiàn)遠程代碼執(zhí)行。
“庫中包含的 PoC 腳本可以查詢目標服務(wù)器并發(fā)送特定請求以確定它是否易受攻擊。”一份分析報告寫道,“一旦確定了易受攻擊的目標,攻擊者就可以將 URL 中的'?a=' 附加到易受攻擊的 Web 服務(wù)器上以發(fā)送特定請求?!?/p>
10 月 24 日php代碼執(zhí)行漏洞,PHP 維護者發(fā)布了(最新穩(wěn)定版)和(舊穩(wěn)定版)以解決 CVE-2019 漏洞。毫無疑問,將與PHP-FPM結(jié)合使用的管理員應(yīng)該盡快升級他們的安裝。
另外php代碼執(zhí)行漏洞,維護者還提出了一個解決方案,包括添加指令或者使用if語句,比如if(-f $uri)。
參考文章:
CVE-2019- 用于黑客的 Web 和 PHP-FPM