PHP 7 的 PHP-FPM 存在远程代码执行漏洞
据外媒 ZDNet 的报道,PHP 7.x 中最近修复的一个远程代码执行漏洞正被恶意利用,并会导致攻击者控制服务器。编号为 CVE-2019-11043 的漏洞允许攻击者通过向目标服务器发送特制的 URL,即可在存在漏洞的服务器上执行命令。漏洞利用的 PoC 代码也已在 GitHub 上发布。
一旦确定了易受攻击的目标,攻击者便可以通过在 URL 中附加 '?a=' 以发送特制请求到易受攻击的 Web 服务器
仅 NGINX 服务器受影响
幸运的是,并非所有的 PHP Web 服务器都受到影响。据介绍,仅启用了 PHP-FPM 的 NGINX 服务器容易受到攻击。PHP-FPM 代表 FastCGI Process Manager,是具有某些附加功能的 PHP FastCGI 替代实现。它不是 nginx 的标准组件,但部分 Web 托管商仍会将其作为标准 PHP 托管环境的一部分。
Web 托管商 Nextcloud 就是其中一个例子,该公司于10月24日向其客户发出安全警告,督促客户将 PHP 更新至最新版本 7.3.11 和 7.2.24,其中包含针对 CVE-2019-11043 漏洞的修复程序。另外,许多其他虚拟主机供应商也被怀疑正在运行易受攻击的 nginx + PHP-FPM 组合。
但是也有一些网站由于技术限制而无法更新 PHP,或无法从 PHP-FPM 切换到另一个 CGI 处理器。
修复建议
- 将 PHP 7.1.X 更新至 7.1.33 https://github.com/php/php-src/releases/tag/php-7.1.33
- 将 PHP 7.2.X 更新至 7.2.24 https://github.com/php/php-src/releases/tag/php-7.2.24
- 将 PHP 7.3.X 更新至 7.3.11 https://github.com/php/php-src/releases/tag/php-7.3.11
关于漏洞的详细分析可查看 https://paper.seebug.org/1063/。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
ShopXO 开源商城,批量导入淘宝、天猫商品插件发布
有很多朋友在群里问我能否开发一个导入淘宝数据的插件,最近有空就做了一个。 功能说明:根据输入的商品地址,批量导入淘宝商品,大量节省商品上传时间 1) 支持C店和天猫。 2)支持所有图片获取,包括sku图。 3)支持非销售属性的获取。 4)导入链接后无需挂机,系统会自动采集写入商城。 简要截图: 1)导入淘宝商品插件 2)主界面 3)导入链接 4)导入效果实例
- 下一篇
Linux 引入自动化测试平台 KernelCI
“测试效果差”是 Linux 长期以来的一个主要弱点,目前这一情形有了转机,自动化测试平台KernelCI 已成为 Linux 基金会的一份子。KernelCI是一个基于社区的开源分布式测试自动化系统,专注于上游 Linux 内核开发。该项目现已获得了包括 Google、Microsoft 和 Red Hat 等公司的资助。 KernelCI 项目始于五年前,当时一些内核维护者意识到,“Linux 可在如此多的硬件上运行,但是对该硬件的测试却非常少。” 众所周知,Linux 内核是由一个大型的协作式开源社区开发的,该社区通过 Linux 内核邮件列表(LKML)进行协作。但是 Linux 内核测试是分散的,在测试软件或方法上没有足够的协作。Linux 内核开发人员 Russell Currey 提到,这种邮件列表方式下如何处理补丁是一个问题,大多数包含补丁的邮件缺少上下文,从电子邮件中也几乎不可能知道修补程序是否已被合并或拒绝。“通常,邮件列表所携带的元数据级别根本不如当代项目托管站点,这使 CI(连续集成)问题更加棘手。” “传统上,仅在最常见的硬件上进行测试。但是,由于 Linux...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- SpringBoot2全家桶,快速入门学习开发网站教程
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- MySQL8.0.19开启GTID主从同步CentOS8
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果