NGINX HTTP伺服器中的PHP FastCGI Process Manager(PHP-FPM)被發現存在一個漏洞。遠端攻擊者可以通過傳送特製的URL至受影響系統,從而攻擊這個漏洞。
PHP 7.1 版本將於 1.12.2019 結束,在這之後也不會再提供安全更新。舊 PHP 版本 (包括7.0及5.x版本)的支援已停止。用戶應安排為 PHP 更新至最新版本,或轉至其他支援的技術。
下列安裝於 NGINX HTTP 伺服器的 PHP 版本受到影響:
成功利用這個漏洞可以在受影響系統導致執行任意程式碼。
PHP 發行了有關產品的新版本以應對以上問題。用戶可從以下網址下載:
受影響系統的管理員應遵從產品供應商的建議,立即採取行動以降低風險。
https://bugs.php.net/bug.php?id=78599
https://www.php.net/ChangeLog-7.php#7.1.33
https://www.php.net/ChangeLog-7.php#7.2.24
https://www.php.net/ChangeLog-7.php#7.3.11
https://www.php.net/supported-versions.php
https://nextcloud.com/blog/urgent-security-issue-in-nginx-php-fpm/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11043