NGINX-CVE-2019-11043漏洞允许在某些nginx和php fpm配置上远程执行代码。

过去的24小时里,nginx周围出现了一个新的安全风险,记录在cve-2019-11043中。此漏洞允许在某些nginx和php fpm配置上远程执行代码。如果不运行nginx,此漏洞不会影响您。

不幸的是,nginx+php-fpm是大多数的选择,建议所有系统管理员立即采取措施:

将php包升级到最新版本。
修复这个问题的新版本将于10月24日发布。
请参见 https://www.php.net/archive/2019.php 35; 2019-10-24-1
Upstream PHP包,修复程序如下:

7.1.33
7.2.24
7.3.11

更新nginx配置文件。
由于nginx配置中只有两个更改,我们在这里重点介绍它们:

将NGINX如下配置

	location / {
		rewrite ^ /index.php$request_uri;
	}

修改为

	location / {
		rewrite ^ /index.php;
	}

注意删除$request-uri

以及

    location ~ ^\.... {
        fastcgi_split_path_info ^(.+?\.php)(\/.*|)$;
        include fastcgi_params;
        fastcgi_param SCRIPTFILENAME $document_root$fastcgi_script_name;
        .......
    }

修改为

    location ~ ^\.... {
        fastcgi_split_path_info ^(.+?\.php)(\/.*|)$;
        try_files $fastcgi_script_name =404;
        include fastcgi_params;
        fastcgi_param SCRIPTFILENAME $document_root$fastcgi_script_name;
        .......
    }

注意添加:$try_files $fastcgi_script_name =404;

 


Revision #1
Created Fri, Oct 25, 2019 3:31 AM by Luffy
Updated Fri, Oct 25, 2019 3:40 AM by Luffy