서버에서 원격 코드 실행을 허용하는 php-fpm의 취약점

유효한 PHP 7.3.11, 7.1.33 및 7.2.24의 수정 릴리스 제거 위독한 취약점 (CVE-2019-11043) PHP-FPM(FastCGI 프로세스 관리자) 확장 기능을 사용하면 시스템에서 원격으로 코드를 실행할 수 있습니다. PHP 스크립트를 실행하기 위해 Nginx와 함께 PHP-FPM을 사용하는 서버를 공격하려면 이미 공개적으로 사용 가능합니다. 일 악용하다.

"fastcgi_split_path_info"를 사용하여 URL의 일부를 분리하고 PATH_INFO 환경 변수를 정의하지만 먼저 "try_files $fastcgi_script_name"을 사용하여 파일의 존재를 확인하지 않고 PHP-FPM으로 전달하는 nginx 구성에서 공격이 가능합니다. 지시어 또는 "if (!-f $)" 구성 document_root$fastcgi_script_name)". 문제는 또한 명시된 NextCloud 플랫폼에 제공되는 설정에서. 예를 들어 다음과 같은 구조의 구성이 있습니다.

위치 ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^ (. +? \. php) (/.*) $;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
}

다음 페이지에서 배포 키트의 문제 해결 방법을 추적할 수 있습니다. 데비안, RHEL, Ubuntu, 수세/오픈수세, FreeBSD의, 아치, 페도라. 해결 방법으로 "fastcgi_split_path_info" 줄 뒤에 요청된 PHP 파일이 있는지 확인하는 기능을 추가할 수 있습니다.

try_files $fastcgi_script_name =404;

파일에서 포인터를 조작할 때 오류로 인해 발생하는 문제입니다. 사피/fpm/fpm/fpm_main.c. 포인터를 할당할 때 PATH_INFO 환경 변수의 값에는 PHP 스크립트 경로와 일치하는 접두사가 포함되어야 한다고 가정됩니다.
fastcgi_split_path_info 지시문이 개행 구분 정규식을 사용하여 스크립트 경로 분할을 지정하는 경우(예를 들어 많은 예에서 "^(.+?\.php)(/.*)$" 사용을 제안함) 공격자는 다음을 보장할 수 있습니다. 빈 값은 PATH_INFO 환경 변수에 기록됩니다. 이 경우에는 실행이 계속 진행됩니다. 수행 한 path_info[0]을 XNUMX으로 쓰고 FCGI_PUTENV를 호출합니다.

특정 방식으로 형식화된 URL을 요청함으로써 공격자는 path_info 포인터를 "_fcgi_data_seg" 구조의 첫 번째 바이트로 이동할 수 있으며, 이 바이트에 XNUMX을 쓰면 "char* pos"가 이동하게 됩니다. 이전에 위치했던 메모리 영역에 대한 포인터. 다음 FCGI_PUTENV는 공격자가 제어할 수 있는 값으로 이 메모리의 데이터를 덮어씁니다. 지정된 메모리에는 다른 FastCGI 변수의 값도 저장되며, 해당 데이터를 작성함으로써 공격자는 가상의 PHP_VALUE 변수를 생성하고 코드를 실행할 수 있습니다.

출처 : opennet.ru