Комментарии 30
Мало того, что новости пять дней, так ещё и журналиста опять изнасиловали:
Для тех, кто не может обновиться, представлена инструкция с использованием стандартной утилиты брандмауэра.Стандартной для кого, для ModSecurity? Или WallArm? Тут даже не надмозг, тут просто не подумали.
+6
НЛО прилетело и опубликовало эту надпись здесь
Nextcloud/Owncloud, к примеру, не инклудит этот сниппет по умолчанию, и не проверяет наличие существования файла в дефолтной конфигурации фронта.
0
Хм. В дефолтной конфигурации есть проблема?
0
Некстклауда? Да.
Конфигурации из коробки подразумевают собственные настройки для FastCGI, где нет проверки на существование скрипта при пробросе запроса.
Конфигурации из коробки подразумевают собственные настройки для FastCGI, где нет проверки на существование скрипта при пробросе запроса.
0
Печаль. Пойду, потушу. Буду разбираться.
0
Я там ниткой ниже постил линк на заметку на опеннете, там можно подсмотреть, как всё зафиксить в одну строку.
0
да, видел, мы на работе тоже распространили workaround. спасибо.
Только мы рекомендовали из исходной переписки вариант:
Только мы рекомендовали из исходной переписки вариант:
Add this line before ALL YOUR "location ~ \.php(/|$) {" LINES in nginx confs:
```
rewrite ^(.*?)\n $1; #Fix CVE-2019-11043 (THIS LINE!!!)
location ~ \.php(/|$) {
...
fastcgi_split_path_info ^((?U).+\.php)(/?.+)$;
...
```
That will truncate PATH_INFO after "\n" while URL contains "%0a".
0
чудно, в ubuntu ppa патч прилетел.
0
Я не понял, простите. Это же в nginx уязвимость?
0
НЛО прилетело и опубликовало эту надпись здесь
Уязвимость в php-fpm конкретно: www.opennet.ru/opennews/art.shtml?num=51749.
Если интересны детали — настоятельно рекомендуется к прочтению, описано куда как более внятно.
Если интересны детали — настоятельно рекомендуется к прочтению, описано куда как более внятно.
+1
В нём, но через php
0
С 5.4 бояться нечего?
0
НЛО прилетело и опубликовало эту надпись здесь
Дык, легаси с mysql_query
0
Есть же обертка для 7.2. 1 маленький инклюд и можно дальше не апдейтить код)
0
О какой обертке с маленьким инклюдом речь?
0
Что-то типа github.com/e-sites/php-mysql-mysqli-wrapper
0
А ещё htmlspecialchars стал требовать указывать третий параметр с кодировкой строки. И наверняка это не весь список изменений.
0
НЛО прилетело и опубликовало эту надпись здесь
На странице PoC написано по поводу PHP5:
Мой вольный перевод:
Оригинал
The buffer underflow in php-fpm is present in PHP version 5. However, this exploit makes use of an optimization used for storing FastCGI variables, _fcgi_data_seg. This optimization is present only in php 7, so this particular exploit works only for php 7. There might be another exploitation technique that works in php 5.
Мой вольный перевод:
В PHP5 есть такая же проблема. Но данный эксплоит использует функцию для оптимизации процесса, которая есть только в PHP7. По этой причине данный эксплоит будет работать только с PHP7.
Но это не отменяет существования способа воспользоваться этой уязвимостью на PHP5.
0
Существует уже давно принята практика единой точки входа в веб приложение. В своих конфигурациях всегда использую прямой путь только к index.php файлу. Это еще и защищает от соблазна создавать всякие infophp(); файлы в корне. К тому же это уже не первая уязвимость, связанная с путями в связки nginx+php-fpm.
+1
Эксплойт назвали бесхитростно. Потом журналисты скажут, что русские атакуют.
+6
Уязвимость найдена в конфигурации nginx, где проброс в PHP-FPM осуществляется c разделением частей URL при помощи fastcgi_split_path_info и определением переменной окружения PATH_INFO, но без предпроверки существования файла директивой try_files $fastcgi_script_name или конструкцией if
Иными словами, уязвимость найдена в давно deprecated фичах родом из апача и 10+ лет назад, которые поддерживаются современным софтом только для совместимости с древними пхп-скриптами.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Выявлена уязвимость PHP 7, которая помогает перехватывать контроль над NGINX-серверами