PHP 近期被爆存在远程代码执行漏洞 CVE-2019-11043

justoxh 的个人博客 / 1078 / 1 / 创建于 4年前 / 更新于 4年前 / 1 个改进

漏洞描述：

9 月 26 日，PHP 官方发布漏洞通告，其中指出，使用 Nginx + php-fpm 的服务器，在默认的配置下，存在远程代码执行漏洞。并且该默认配置已被广泛使用，危害较大，目前PoC已经公开，如有使用 Nginx + php-fpm 的服务器请抓紧修复。
Nginx + php-fpm 的服务器，在使用如下配置的情况下，都可能存在远程代码执行漏洞。

 location ~ [^/]\.php(/|$) {
        fastcgi_split_path_info ^(.+?\.php)(/.*)$;
        fastcgi_param PATH_INFO       $fastcgi_path_info;
        fastcgi_pass   php:9000;
        ...
  }
}

修复方案：

在不影响正常业务的情况下，删除 Nginx 配置文件中的如下配置：
fastcgi_split_path_info ^(.+?.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;

参考链接：

https://bugs.php.net/bug.php?id=78599
https://github.com/neex/phuip-fpizdam

bug

本作品采用《CC 协议》，转载必须注明作者和本文链接

7 声望

暂无个人描述~

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

《G01 Go 实战入门》

从零开始带你一步步开发一个 Go 博客项目，让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。

推荐文章：

更多推荐...

[转载]写代码有这16个好习惯，可以减少80%非业务的bug 64 / 10 |

给找 Bug 的工具（larastan）找 Bug 14 / 0 |

7 个 Laravel 编程好习惯助你减少代码中 Bug 12 / 1 |

Docker 的 LNMP 一键安装开发环境 + PHP 非侵入式监控平台 xhgui (优化系统性能、定位 Bug) 74 / 49 |

记一次 Laravel 定时任务不按时执行的 Bug 追查记录及修复方案 112 / 15 |

slug 有 bug? 11 / 4 |

讨论数量: 1

DangerHJW

课程读者 3 声望

修复方案是删除还是修改两句呢？

4年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

未填写

私信

文章归档

1 篇 2019 年 10 月 1 篇 2018 年 10 月

4年前 PHP 近期被爆存在远程代码执行漏洞 CVE-2019-11043 5年前分享一个自用的 go-toolkit 包

2 PHP 近期被爆存在远程代码执行漏洞 CVE-2019-11043 0 分享一个自用的 go-toolkit 包

博客标签

成为赞助商