ي جميع فروع إصدار PHP-7 ، هناك ثغرة أمنية تسمح للمهاجمين عن بُعد بتنفيذ التعليمات البرمجية على خوادم الويب المعرضة للخطر في ظل ظروف مشددة (هـ). وفقًا لاكتشاف هذه الفجوة ، تتأثر خوادم NGINX فقط ، حيث يتم استخدام PHP-FPM مدير عمليات FastCGI. بالإضافة إلى ذلك ، يجب الوفاء بشروط معينة فيما يتعلق بتكوين الخادم.
كما يتضح من سجل التغيير PHP 7 ، أغلق فريق تطوير PHP الفجوة مع ثغرة CVE-2019-11043 في الإصدارات 7.1.33 و 7.2.24 و 7.3.11 التي تم إصدارها الأسبوع الماضي. يُنصح بالتحديث السريع – خاصةً بالنظر إلى توفر كود إثبات صحة المفهوم الموثق جيدًا من قبل GitHub ، مما يجعل من السهل مهاجمة الفجوة.
يمكن العثور على تفاصيل الفجوة CVE-2019-11043 من بين أمور أخرى إدخال PHP Bugtracker من مكتشفهم (Sec Bug # 78599). بالإضافة إلى ذلك ، لخص منتج البرامج الأمنية Tenable المتطلبات الإضافية التي بموجبها تكون خوادم NGINX ذات إصدارات PHP الضعيفة معرضة للخطر في إدخال المدونة.
التحديث 28.10.19 ، 22:38: تصحيح المحتوى: في الإصدار الأصلي من هذه الرسالة ، تم استدعاء PHP-FPM عن طريق الخطأ لمترجم PHP. (وفو)
ما مواقع الويب التي تعتمد على PHP والتي تكون عرضة للمتسللين؟
على الرغم من أن استغلال PoC الذي تم إصداره للجمهور مصمم لاستهداف الخوادم الضعيفة التي تستخدم إصدارات PHP 7+ على وجه التحديد ، إلا أن خلل التدفق السفلي لـ PHP-FPM يؤثر أيضًا على إصدارات PHP السابقة ويمكن تسليحه بطريقة مختلفة.
باختصار ، موقع الويب ضعيف ، إذا:
تم تكوين NGINX لإعادة توجيه طلبات صفحات PHP إلى معالج PHP-FPM ،
يوجد توجيه fastcgi_split_path_info في التكوين ويتضمن تعبيرًا منتظمًا يبدأ برمز “^” وينتهي برمز “$” ،
يتم تعريف متغير PATH_INFO بتوجيه fastcgi_param ،
لا توجد اختبارات مثل try_files $ uri = 404 أو إذا (-f $ uri) لتحديد ما إذا كان الملف موجودًا أم لا.
يشبه هذا التكوين الضعيف NGINX و PHP-FPM المثال التالي:
هنا ، يستخدم توجيه fastcgi_split_path_info لتقسيم عنوان URL لصفحات ويب PHP إلى قسمين ، قيمة محرك PHP-FPM واحد يساعد على معرفة اسم البرنامج النصي والآخر يحتوي على معلومات المسار.
