發布日期: 2019年 10月 28日
Tweet
NGINX HTTP伺服器中的PHP FastCGI Process Manager(PHP-FPM)被發現存在一個漏洞。遠端攻擊者可以通過傳送特製的URL至受影響系統,從而攻擊這個漏洞。
PHP 7.1 版本將於 1.12.2019 結束,在這之後也不會再提供安全更新。舊 PHP 版本 (包括7.0及5.x版本)的支援已停止。用戶應安排為 PHP 更新至最新版本,或轉至其他支援的技術。
下列安裝於 NGINX HTTP 伺服器的 PHP 版本受到影響:
成功利用這個漏洞可以在受影響系統導致執行任意程式碼。
PHP 發行了有關產品的新版本以應對以上問題。用戶可從以下網址下載:
受影響系統的管理員應遵從產品供應商的建議,立即採取行動以降低風險。
這連結會以新視窗打開。https://bugs.php.net/bug.php?id=78599
這連結會以新視窗打開。https://www.php.net/ChangeLog-7.php#7.1.33
這連結會以新視窗打開。https://www.php.net/ChangeLog-7.php#7.2.24
這連結會以新視窗打開。https://www.php.net/ChangeLog-7.php#7.3.11
這連結會以新視窗打開。https://www.php.net/supported-versions.php
這連結會以新視窗打開。https://nextcloud.com/blog/urgent-security-issue-in-nginx-php-fpm
這連結會以新視窗打開。https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11043