小程序开发 APP开发 企业营销型网站 常见问题 技术分享 云服务 城市网点
首页技术分享PHP技术

新的 PHP 漏洞可使黑客入侵在 Nginx 服务器上运行的网站


如果您正在 NGINX 服务器上运行任何基于 PHP 的网站,并且启用了 PHP-FPM 功能,请当心最近新公开的一个漏洞,黑客有可能利用这个漏洞远程入侵您的网站服务器。

PHP-FPM 是一个PHPFastCGI管理器,可为用 PHP 编程语言编写的脚本提供高级且高效的处理。

主要漏洞是 PHP-FPM 模块中的“ env_path_info”下溢内存损坏问题,攻击者可能借助这个漏洞在易受攻击的 Web 服务器上远程执行任意代码。

尽管公开发布的PoC漏洞专门针对运行PHP 7+版本的易受攻击的服务器,但PHP-FPM下溢错误也影响到了早期的PHP版本,并且可以采用其他方式进行武器化。

简而言之,如果存在以下情况,则网站容易受到攻击:

  • NGINX经过配置,会将PHP页面请求转发到PHP-FPM处理器,

  • fastcgi_split_path_info指令存在于配置中,并且是以’^’符号开头和以’$’符号结尾的正则表达式,

  • PATH_INFO变量是使用fastcgi_param指令定义的,

  • 没有诸如try_files $ uri = 404或if(-f $ uri)之类的检查来确定文件是否存在。

受影响的提供商之一就是Nextcloud,该公司昨天发布通知,警告其用户“Nextcloud NGINX的默认配置也会受到此漏洞影响”,并建议管理员立即采取行动。

在专家们向PHP开发人员小组报告该漏洞近一个月后,该漏洞补丁已于10月25号发布。

即使当前的配置不会受到攻击,用户也最好将PHP更新到最新的PHP 7.3.11PHP 7.2.24


联系我们


在线 Q Q:我是客服,点击这里给我发消息

在线旺旺:点击这里给我发消息

联系手机:13400146449

联系手机:17161107311

服务邮箱: titrol@titrol.com

办公地址:河北省邢台市宁晋县凤凰城北1102

我们的服务


小程序开发定制

小程序开发定制

为客户提供企业官网小程序开发、社区团购、分销商城、商家预约、同城信息、房产中介、求职招聘、在线客服等小程序开发,支持百度、微信、抖音、头条、支付宝五大平台开发!
企业网站建设+小程序

企业网站建设+小程序

为客户建设企业网站并对接6大平台小程序,一个后台更新内容,PC+手机端+6大平台小程序同步更新,方便数据管理,并全方位利用各大平台流量,为企业做全维度的展示。
企业大数据分析

企业大数据分析

为企业量身分析互联网数据,为用户分析自身行业特征,通过互联网大数据分析为用户找到潜在的客户群,帮助客户提供营销数据向导!
APP开发

APP开发

为客户开发商城APP、企业管理APP、淘客APP、多多客APP、社交APP、直播APP、短视频APP、地图应用、新闻资讯、生鲜配送、OA/CRM/ERP系统定制等