据外媒 ZDNet
的报道,PHP
7.x
中最近修复的一个远程代码执行漏洞正被恶意利用,并会导致攻击者控制服务器。编号为 CVE-2019-11043 的漏洞允许攻击者通过向目标服务器发送特制的
URL,即可在存在漏洞的服务器上执行命令。漏洞利用的 PoC 代码也已在 GitHub
上发布。

图片 1

一旦确定了易受攻击的目标,攻击者便可以通过在 URL 中附加 ‘?a=’
以发送特制请求到易受攻击的 Web 服务器

PHP7出现三个高危0-day漏洞,可允许攻击者完全控制PHP网站。

仅 NGINX 服务器受影响

幸运的是,并非所有的 PHP Web 服务器都受到影响。据介绍,仅启用了 PHP-FPM
的 NGINX 服务器容易受到攻击。PHP-FPM 代表 FastCGI Process
Manager,是具有某些附加功能的 PHP FastCGI 替代实现。它不是 nginx
的标准组件,但部分 Web 托管商仍会将其作为标准 PHP 托管环境的一部分。

Web 托管商 Nextcloud
就是其中一个例子,该公司于10月24日向其客户发出安全警告,督促客户将
PHP
更新至最新版本 7.3.11 和 7.2.24,其中包含针对
CVE-2019-11043
漏洞的修复程序。另外,许多其他虚拟主机供应商也被怀疑正在运行易受攻击的
nginx + PHP-FPM 组合。

但是也有一些网站由于技术限制而无法更新 PHP,或无法从 PHP-FPM
切换到另一个 CGI 处理器。

图片 2

修复建议

  • 将 PHP 7.1.X 更新至
    7.1.33 
  • 将 PHP 7.2.X 更新至
    7.2.24 
  • 将 PHP 7.3.X 更新至
    7.3.11 

关于漏洞的详细分析可查看 。

(文/开源中国)    

这三个漏洞出现在PHP7的反序列化机制中,而PHP5的反序列机制也曾曝出漏洞,在过去几年中,黑客利用该漏洞将恶意代码编入客户机cookie并发送,从而入侵了Drupal、Joomla、Magento、vBulletin和PornHub等网站。

漏洞概况

最近,Check
Point的exploit研究团队安全人员花费数个月时间,检查PHP7的反序列化机制,并发现了该机制中的“三个新的、此前未知的漏洞”。

虽然此次的漏洞出现在相同机制中,但PHP7中的漏洞与此前PHP5中的并不相同。

三个漏洞编号分别为CVE-2016-7479、CVE-2016-7480和CVE-2016-7478,其利用方式与Check
Point八月份详细报道的CVE-2015-6832漏洞类似。

  • CVE-2016-7479:释放后使用代码执行
  • CVE-2016-7480:使用未初始化值代码执行
  • CVE-2016-7478:远程拒绝服务

影响和修复

前两个漏洞如遭利用,将允许攻击者完全控制目标服务器,攻击者可以传播恶意程序、盗取或篡改客户数据等。如果第三个漏洞被利用,则可造成DoS攻击,可使目标网站资源系统耗尽并最终关闭,点击此处查看完整分析报告。

根据Check Point安全研究人员Yannay
Livneh的说法,上述三个漏洞都未被黑客利用。Check
Point的研究人员已在9月15日和8月6日依次将三个漏洞报给了PHP安全团队。

PHP安全团队已在10月13日和12月1日发布了针对其中两个漏洞的补丁,但还有一个仍未修复。为保证Web服务器安全,用户应将服务器PHP版本升至最新。

【编辑推荐】