NGINX HTTP伺服器中的PHP FastCGI Process Manager(PHP-FPM)被发现存在一个漏洞。远端攻击者可以通过传送特制的URL至受影响系统,从而攻击这个漏洞。
PHP 7.1 版本将于 1.12.2019 结束,在这之后也不会再提供安全更新。旧 PHP 版本 (包括7.0及5.x版本)的支援已停止。用户应安排为 PHP 更新至最新版本,或转至其他支援的技术。
下列安装于 NGINX HTTP 伺服器的 PHP 版本受到影响:
成功利用这个漏洞可以在受影响系统导致执行任意程式码。
PHP 发行了有关产品的新版本以应对以上问题。用户可从以下网址下载:
受影响系统的管理员应遵从产品供应商的建议,立即采取行动以降低风险。
https://bugs.php.net/bug.php?id=78599
https://www.php.net/ChangeLog-7.php#7.1.33
https://www.php.net/ChangeLog-7.php#7.2.24
https://www.php.net/ChangeLog-7.php#7.3.11
https://www.php.net/supported-versions.php
https://nextcloud.com/blog/urgent-security-issue-in-nginx-php-fpm/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11043