уязвимость php7
PHP

Выявлена уязвимость PHP 7, которая помогает перехватывать контроль над NGINX-серверами

Brama,

  • SHARE

Эксперты обнаружили в ветке PHP 7 уязвимость CVE-2019-11043, которая позволяет хакерам выполнять команды на сервере с помощью специально сформированного URL с добавлением ‘?a=’.

Данный баг активно применяется при атаках, так как его просто эксплуатировать. Проблему усугубило то, что в октябре на GitHub появился PoC-код для определения уязвимых серверов. Он отправляет специально сформированные запросы, чтобы выяснить, уязвим ли тот или иной сервер. При этом атаки возможны только в отношении NGINX-серверов с включенным PHP-FPM (программным пакетом для обработки скриптов на языке PHP).

Уязвимость найдена в конфигурации nginx, где проброс в PHP-FPM осуществляется c разделением частей URL при помощи fastcgi_split_path_info и определением переменной окружения PATH_INFO, но без предпроверки существования файла директивой try_files $fastcgi_script_name или конструкцией if (!-f $document_root$fastcgi_script_name).

image

«С помощью специально сформированного URL атакующий может добиться смещения указателя path_info на первый байт структуры _fcgi_data_seg. Запись нуля в этот байт приведет к перемещению указателя `char* pos` на ранее идущую область памяти, вызываемый следом FCGI_PUTENV перезаписывает некоторые данные (включая другие переменные ast cgi)», — так описана уязвимость. То есть, хакер может создать фиктивную переменную PHP_VALUE fcgi и добиться выполнения кода.

Для данной уязвимости уже выпустили патч. Пользователям рекомендовали обновиться до новейших версий PHP 7.3.11 и PHP 7.2.24. Для тех, кто не может обновиться, представлена инструкция с использованием стандартной утилиты брандмауэра.

Ранее сообщалось об обнаружении вредоносной программы Spidey Bot, которая использует легитимный клиент Discord для Windows как средство для шпионажа и кражи информации. Spidey Bot добавляет вредоносный JavaScript, который способен использовать команды Discord API, чтобы собирать данные о пользователе. Затем вся информация передается злоумышленнику через веб-хук Discord.

Brama, 11.12.2019

  • Поделиться

Post Comment

Comments(12)

Katy Liu on Sep 29, 2017 at 9:48 am

At that event and the ones that followed, plenty of senior citizens — among them librarians, property developers

Load More