PHP远程代码执行漏洞预警（CVE-2019-11043）

一、概要

近日，华为云安全团队关注到PHP官方披露了一个严重级别的远程代码执行漏洞（CVE-2019-11043）。同时使用Nginx和php-fpm的服务器，在部分配置下存在逻辑缺陷，攻击者可利用缺陷实施远程代码执行攻击。目前漏洞POC已公开，风险较高。

参考链接：

https://bugs.php.net/bug.php?id=78599

https://github.com/neex/phuip-fpizdam/

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞排查

满足以下两个条件，则受漏洞影响：

1、同时使用了php-fpm和nginx，且php-fpm为开启状态（默认是关闭状态）；

2、nginx配置文件中存在以下内容：

location ~ [^/]\.php(/|$) {

        fastcgi_split_path_info ^(.+?\.php)(/.*)$;

        fastcgi_param PATH_INFO       $fastcgi_path_info;

        fastcgi_pass   php:9000;

        ...

  }

} 

四、处置方案

在不影响正常业务的情况下，删除上述存在风险的Nginx配置或者暂停使用Nginx+php-fpm的环境。

华为云WAF内置策略支持防护，用户仅需确认拦截模式开启即可，无需其他配置。

注：修复漏洞前请将资料备份，并进行充分测试。