Выявлена уязвимость PHP 7, которая помогает перехватывать контроль над NGINX-серверами

[@ksenobayt]

Мало того, что новости пять дней, так ещё и журналиста опять изнасиловали:

Для тех, кто не может обновиться, представлена инструкция с использованием стандартной утилиты брандмауэра.

Стандартной для кого, для ModSecurity? Или WallArm? Тут даже не надмозг, тут просто не подумали.

[@ksenobayt]

Nextcloud/Owncloud, к примеру, не инклудит этот сниппет по умолчанию, и не проверяет наличие существования файла в дефолтной конфигурации фронта.

[@Meklon]

Хм. В дефолтной конфигурации есть проблема?

[@ksenobayt]

Некстклауда? Да.
Конфигурации из коробки подразумевают собственные настройки для FastCGI, где нет проверки на существование скрипта при пробросе запроса.

[@Meklon]

Печаль. Пойду, потушу. Буду разбираться.

[@ksenobayt]

Я там ниткой ниже постил линк на заметку на опеннете, там можно подсмотреть, как всё зафиксить в одну строку.

[@Meklon]

да, видел, мы на работе тоже распространили workaround. спасибо.
Только мы рекомендовали из исходной переписки вариант:
Add this line before ALL YOUR "location ~ \.php(/|$) {" LINES in nginx confs:
```
rewrite ^(.*?)\n $1; #Fix CVE-2019-11043 (THIS LINE!!!)
location ~ \.php(/|$) {
...
fastcgi_split_path_info ^((?U).+\.php)(/?.+)$;
...
```

That will truncate PATH_INFO after "\n" while URL contains "%0a".

[@DaemonGloom]

Ребята из nextcloud, кстати, разослали админам серверов сообщения о необходимости обновления и с указанием, что нужно поправить в конфигурации. Было несколько неожиданно, но приятно. Жаль, они не пытались определить тип сервера предварительно — ибо у меня был apache на этой инсталляции.

[@Meklon]

Да, прям приятно. Мне как раз попало в тему.

[@Kanlas]

Да они и заметку на сайте опубликовали. Жаль только, что на 12-ой версии nextcloud с этими изменениями получаешь пустую страницу на выходе. Тут либо обновляться, либо искать другое решение.

[@Meklon]

чудно, в ubuntu ppa патч прилетел.

[@gro]

Я не понял, простите. Это же в nginx уязвимость?

[@ksenobayt]

Уязвимость в php-fpm конкретно: www.opennet.ru/opennews/art.shtml?num=51749.
Если интересны детали — настоятельно рекомендуется к прочтению, описано куда как более внятно.

[@HellFir-e]

В нём, но через php

[@Gedweb]

через fastcgi, если быть точным, который используется в php-fpm

[@Metotron0]

С 5.4 бояться нечего?

[@Metotron0]

Дык, легаси с mysql_query

[@ingiboy]

Есть же обертка для 7.2. 1 маленький инклюд и можно дальше не апдейтить код)

[@xRay]

О какой обертке с маленьким инклюдом речь?

[@ingiboy]

Что-то типа github.com/e-sites/php-mysql-mysqli-wrapper

[@Metotron0]

А ещё htmlspecialchars стал требовать указывать третий параметр с кодировкой строки. И наверняка это не весь список изменений.

[@ingiboy]

Да, тут обертка не сработает(

[@nochkin]

На странице PoC написано по поводу PHP5:

Оригинал

The buffer underflow in php-fpm is present in PHP version 5. However, this exploit makes use of an optimization used for storing FastCGI variables, _fcgi_data_seg. This optimization is present only in php 7, so this particular exploit works only for php 7. There might be another exploitation technique that works in php 5.

Мой вольный перевод:

В PHP5 есть такая же проблема. Но данный эксплоит использует функцию для оптимизации процесса, которая есть только в PHP7. По этой причине данный эксплоит будет работать только с PHP7.
Но это не отменяет существования способа воспользоваться этой уязвимостью на PHP5.

[@xRange]

Существует уже давно принята практика единой точки входа в веб приложение. В своих конфигурациях всегда использую прямой путь только к index.php файлу. Это еще и защищает от соблазна создавать всякие infophp(); файлы в корне. К тому же это уже не первая уязвимость, связанная с путями в связки nginx+php-fpm.

[@QDeathNick]

Эксплойт назвали бесхитростно. Потом журналисты скажут, что русские атакуют.

[@firk]

Уязвимость найдена в конфигурации nginx, где проброс в PHP-FPM осуществляется c разделением частей URL при помощи fastcgi_split_path_info и определением переменной окружения PATH_INFO, но без предпроверки существования файла директивой try_files $fastcgi_script_name или конструкцией if

Иными словами, уязвимость найдена в давно deprecated фичах родом из апача и 10+ лет назад, которые поддерживаются современным софтом только для совместимости с древними пхп-скриптами.