emenda emissiones PHP 7.3.11, 7.1.33 et 7.2.24, in quibus critica (CVE-2019-11043) in PHP-FPM (FastCGI Processus Procurator) extensio, quae te permittit ut codicem tuum in systemate penitus exequaris. Impetum servientibus qui cum Nginx utuntur PHP-FPM in conjunctione cum scriptis PHP currere, iam publice praesto est. .
Oppugnatio fieri potest in nginx conformationibus quibus promovendis ad PHP-FPM exercetur dividendo partes URL utens "fastcgi_split_path_info" et definiens PATH_INFO variabilis ambitus, sed sine primo inhibito exsistentia tabella utens "try_files $fastcgi_script_nominis" directivum vel "si (!-f$) document_root$ fastcgi_script_name)". Etiam quaestio in fundis oblatum est pro suggestu NextCloud. Exempli gratia: conformationes cum structurae similibus;
location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^ (. +? \. php) (/.*) $;
fastcgi_param PATH_INFO$fastcgi_path_info;
fastcgi_pass php:9000;
}
Potes solutionem quaestionis indagare in rhoncus distributionis his paginis: , , , , , , . Pro quo habemus, perscriptio addere potes pro existentia documenti PHP rogatae post lineam "fastcgi_split_path_info":
try_files $fastcgi_script_name =404;
Quaestio est per errorem, cum argumentis in lima manipulating . Cum monstratorem assignans, ponatur valorem variabilis ambitus PATH_INFO continere debet praepositionem quae iter cum scripto PHP congruit.
Si directivum fastcgi_split_path_info designat ruminationem scriptionis in via utens novo-sensitivo regulari expressionis (exempli gratia, multa exempla utens "^(.+?\.php)(/.*)$" suggerunt, tunc oppugnator efficere potuit ut an. valor inanis scriptus ad PATH_INFO ambitus variabilis. Hoc in casu, ulterius per executionem scribens path_info[0] ad nihilum vocans FCGI_PUTENV.
Domicilium quodam modo formatam petens, oppugnator potest mutationem itineris itineris ad primam byte "fcgi_data_seg" structuram consequi, et nihil ad hoc byte scribens ad motum "charis pos" ducet. monstratorem ante locata memoria area. Proxima FCGI_PUTENV dicta notitias in hac memoria scribet cum pretio quod oppugnator regere potest. Certa memoria etiam valores aliarum FastCGI variabilium reponit et eorum notitia scribendo, oppugnator ficticium PHP_VALUE variabilem creare potest et sui codicis exsecutionem consequi.
Source: opennet.ru