🥇Php-fpm में भेद्यता जो सर्वर पर रिमोट कोड निष्पादन की अनुमति देती है

उपलब्ध PHP 7.3.11, 7.1.33 और 7.2.24 का सुधार रिलीज़, जिसमें सफाया नाजुक भेद्यता (CVE-2019-11043) PHP-FPM (FastCGI प्रोसेस मैनेजर) एक्सटेंशन में जो आपको सिस्टम पर अपने कोड को दूरस्थ रूप से निष्पादित करने की अनुमति देता है। उन सर्वरों पर हमला करने के लिए जो Nginx के साथ संयोजन में PHP स्क्रिप्ट चलाने के लिए PHP-FPM का उपयोग करते हैं, यह पहले से ही सार्वजनिक रूप से उपलब्ध है काम कर शोषण करना.

हमला nginx कॉन्फ़िगरेशन में संभव है जिसमें PHP-FPM में अग्रेषण "fastcgi_split_path_info" का उपयोग करके URL के कुछ हिस्सों को विभाजित करके और PATH_INFO पर्यावरण चर को परिभाषित करके किया जाता है, लेकिन पहले "try_files $fastcgi_script_name" के साथ फ़ाइल के अस्तित्व की जांच किए बिना। निर्देश या "if (!-f $ document_root$fastcgi_script_name)"। समस्या सहित प्रकट होता है NextCloud प्लेटफ़ॉर्म के लिए प्रस्तावित सेटिंग्स में। उदाहरण के लिए, प्रपत्र के निर्माण के साथ कॉन्फ़िगरेशन असुरक्षित हैं:

स्थान ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^ (? +?? php) (/.*) $;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
}

आप इन पृष्ठों पर वितरण में समस्या निवारण का अनुसरण कर सकते हैं: डेबियन, RHEL, Ubuntu, एसयूएसई/ओपनएसयूएसई, FreeBSD, मेहराब, फेडोरा. सुरक्षा समाधान के रूप में, "fastcgi_split_path_info" लाइन के बाद, आप अनुरोधित PHP फ़ाइल के अस्तित्व के लिए एक जाँच जोड़ सकते हैं:

प्रयास_फ़ाइलें $fastcgi_script_name =404;

समस्या फ़ाइल में पॉइंटर्स में हेरफेर करते समय एक त्रुटि के कारण होती है sapi/fpm/fpm/fpm_main.c. पॉइंटर निर्दिष्ट करते समय, यह माना जाता है कि PATH_INFO पर्यावरण चर के मान में आवश्यक रूप से एक उपसर्ग होता है जो PHP स्क्रिप्ट के पथ से मेल खाता है।
यदि fastcgi_split_path_info निर्देश एक नियमित अभिव्यक्ति का उपयोग करके स्क्रिप्ट के पथ को विभाजित करने को निर्दिष्ट करता है जो न्यूलाइन वर्ण के संचरण के प्रति संवेदनशील है (उदाहरण के लिए, कई उदाहरणों में "^(.+?\.php)(/) का उपयोग करने का सुझाव दिया गया है। *)$"), तो हमलावर PATH_INFO पर्यावरण चर के लिए एक खाली मान लिख सकता है। इस मामले में, निष्पादन के साथ आगे किया path_info[0] को शून्य पर लिखना और FCGI_PUTENV को कॉल करना।

एक निश्चित तरीके से फ़ॉर्मेट किए गए URL का अनुरोध करके, एक हमलावर path_info पॉइंटर को "_fcgi_data_seg" संरचना के पहले बाइट में ले जा सकता है, और इस बाइट पर शून्य लिखने से "char * pos" पॉइंटर पहले से जा रहे मेमोरी क्षेत्र में चला जाएगा। आगे बुलाया गया FCGI_PUTENV इस मेमोरी में डेटा को उस मान के साथ अधिलेखित कर देगा जिसे हमलावर नियंत्रित कर सकता है। निर्दिष्ट मेमोरी अन्य फास्टसीजीआई वेरिएबल्स के मूल्यों को भी संग्रहीत करती है, और उनके डेटा को लिखकर, हमलावर एक डमी PHP_VALUE वेरिएबल बना सकता है और अपने कोड के निष्पादन को प्राप्त कर सकता है।

स्रोत: opennet.ru

Php-fpm में भेद्यता जो सर्वर पर रिमोट कोड निष्पादन की अनुमति देती है

एक टिप्पणी जोड़ें उत्तर रद्द