php+漏洞+版本,PHP漏洞

最新推荐文章于 2024-01-02 14:42:25 发布
最新推荐文章于 2024-01-02 14:42:25 发布
阅读量940 收藏
点赞数
文章标签: php+漏洞+版本

PHP远程代码执行漏洞预警

漏洞等级  High

CVE编号  CVE-2019-11043

漏洞详情

PHP 官方发布漏洞通告,其中指出:使用 Nginx + php-fpm 的服务器,在部分配置下,由于不正确的Nginx+php-fpm配置导致服务端存在在处理%0a时存在不正确解析方式,在特殊构造的配置生效的情况下可以触发任意代码执行,造成远程代码执行漏洞。漏洞 PoC 已经公开,危害严重。

影响范围

Nginx + php-fpm 的服务器,在使用如下配置的情况下,都可能存在远程代码执行漏洞。

location ~ [^/]\.php(/|$) {

fastcgi_split_path_info ^(.+?\.php)(/.*)$;

fastcgi_param PATH_INFO       $fastcgi_path_info;

fastcgi_pass   php:9000;

}

}

修复方案

注意:安装升级前,请做好数据备份、快照和测试工作,防止发生意外

1.官方发布修复版本后,升级到修复版本:

PHP 7.3.11

PHP 7.2.24

PHP 7.1.33

2. 使用rewrite url功能屏蔽非法请求进行防御(请做好对业务的误伤结果测试)

3.在不影响正常业务的情况下,删除如下配置

fastcgi_split_path_info ^(.+?\.php)(/.*)$;

fastcgi_param PATH_INFO       $fastcgi_path_info;

参考链接

烟雨千年
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞复现】CVE-2024-4577|PHP CGI Windows平台远程代码执行漏洞
信安百科
06-09 1348
漏洞复现】CVE-2024-4577|PHP CGI Windows平台远程代码执行漏洞
php升级解决漏洞,php升级过程及出现的问题解决方法
weixin_42332123的博客
04-08 691
php升级过程及出现的问题解决方法小编网站之前php版本为5.6.4,由于网站后台一直提示php版本过低需要升级,于是直接升级至7.2.28,不过在升级的过程中真是各种问题层出不穷,现整理出来以后再出问题就容易解决了。1.卸载旧版本php首先通过php -v命令查看服务器版本号小编是通过rpm命令手动安装的,所以通过#rpm -qa|grep php查看全部的php软件包可以看到所有的安装包php...
PHP PHP7.4.30 程序及常见组合rpm 包打包下载
07-27
PHP PHP7.4.30 程序及常见组合rpm 包打包下载 漏洞升级
PHP常见的漏洞分析
m0_63917373的博客
09-27 1154
PHP常见漏洞分析
配置PHP7.3.31,出错
fanfanghao的博客
10-06 155
JYM公司的电脑配置PHP,就是出错。 php.ini,扩展也是开启 ext文件夹里,php_interbase.dll文件也是有的。 费解啊。
PHP网站常见一些安全漏洞及防御方法_php
最新发布
liuhyusb的博客
01-02 576
一、常见PHP网站安全漏洞对于PHP漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。1、session文件漏洞Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用于方便用户的使用和访向。2、SQL注入漏洞
PHP漏洞全解1-9
09-16
PHP 漏洞全解( 一)-PHP 网页的安全性问题 针对 PHP 的网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval 注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross ...
PHP漏洞全解1-9.pdf
06-23
根据提供的文件信息,本文将对其中提及的PHP安全漏洞进行详细的解释与分析,并提供相应的防护措施建议。 ### 1. 命令注入(Command Injection) #### 定义: 命令注入是一种通过向应用程序发送恶意构造的命令来...
PHP常见漏洞攻击分析
10-22
本文给大家介绍php常见漏洞攻击相关知识,本文介绍的非常详细,具有参考借鉴价值,感兴趣的朋友一起学习吧
PHP漏洞全解(详细介绍)
10-27
针对PHP的网站主要存在下面几种攻击方式,这里介绍下,大家在书写php代码的时候一定要注意下
php str_replace的替换漏洞
10-30
PHP str_replace 函数的替换漏洞 str_replace 函数是 PHP 中一个常用的字符串替换函数,但是在使用时需要注意一些潜在的漏洞和问题。 str_replace 函数的定义和用法 str_replace 函数使用一个字符串替换字符串中...
为应对CTF比赛而搭建的各种环境.zip
08-24
全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。 全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。
php 7.1.9 漏洞修复,PHP 7.4.1 发布,修复了哪些功能漏洞
weixin_42361112的博客
03-22 526
上月底PHP 7.4.0进行了发布,现如今,PHP 7.4.1也已完成了发布。PHP是一种广泛使用的通用脚本语言,特别适合于Web开发,并且可以嵌入HTML中。据了解,PHP 7.4.1版本主要进行了诸多bug修复,其具体更新内容如下:Bcmath修复了bug #78878 ( bc_shift_addsub中的缓冲区下溢)(CVE-2019-11046)Core修复了bug #78862 (li...
PHP反序列化漏洞-从入门到提升
AkangBoy的博客
11-09 1679
本文从PHP序列化原理讲起,逐渐深入到PHP反序列化及其漏洞,几乎每个知识点都配有代码演示,十分方便理解,希望对你们有所帮助!
lnmp怎么升级php,lnmp升级php修复PHP最新漏洞
weixin_42510460的博客
03-26 308
在lnmp论坛里面军哥给出的php 5.2 修改phpwget http://soft.vpser.net/web/php/bug/php-5.2-multipart-form-data.patchpatch -p1 < php-5.2-multipart-form-data.patchphp 5.3查找cd php-$php_version/ 应该是198行,下面添加wget http:/...
linux php fpm 漏洞 补丁,【修复php漏洞】编译安装的方式更新ubuntu上的php-fpm
weixin_32267731的博客
04-09 307
php漏洞,需要给php更新版本以下方法未进行严格测试,请在虚拟机上测试后,再使用到生产环境中。在ubuntu上直接apt-get方式安装php-fpm,最大的好处是php进程一旦异常会自动重启,除非自己来处理php异常进程崩溃的问题。下面介绍我自己摸索的php编译安装,文件替换法下载php源码,编译sudoapt-getinstallphp5-fpmsudoservicephp5-f...
漏洞复现篇——PHP反序列化漏洞
爱国小白帽
02-28 4319
简介 PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。反序列化漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通。 什么是序列化和...
【nginx+php漏洞升级解决方案】
m0_59424504的博客
05-31 552
NGINX PHP 升级 安装 部署
apache php 升级5.6,升级 apache2.4.41-php5.6.40
weixin_35170789的博客
04-12 352
因为低版本apache php漏洞,之所以将apache php5升级到最新!1.安装依赖yum -y install gcc gcc-c++ autoconf automake makeyum install gcc gcc-c++ autoconf automake makelibjpeg libjpeg-devel libxml2 libxml2-devel zlibzlib-deve...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值