Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Защита сервера от взлома, антивирус, файрвол, SSL-сертификаты и прочие вопросы, связанные с безопасностью данных.
Akrobs
Сообщения: 315
Зарегистрирован: Чт сен 21, 2017 10:48 pm
Откуда: Saint-Petersburg
Контактная информация:

Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Сообщение Akrobs » Чт окт 24, 2019 7:14 pm

Буквально сегодня прислали новость, что обнаружена серьезная уязвимость! :o
Вот пруф на источник https://nextcloud.com/blog/urgent-secur ... x-php-fpm/
Вопрос: будет ли обновление с исправлением безопасности? 8-)
Последний раз редактировалось Akrobs Сб окт 26, 2019 10:41 am, всего редактировалось 1 раз.

Аватара пользователя
ordex
Сообщения: 307
Зарегистрирован: Вт ноя 20, 2018 2:47 pm

Re: Обнаружена уязвимость NGINX+PHP-fpm

Сообщение ordex » Пт окт 25, 2019 4:27 am

По этой же ссылке есть и о том, как временно пофиксить. Добавить $try_files $fastcgi_script_name =404; сразу после fastcgi_split_path_info

Akrobs
Сообщения: 315
Зарегистрирован: Чт сен 21, 2017 10:48 pm
Откуда: Saint-Petersburg
Контактная информация:

Re: Обнаружена уязвимость NGINX+PHP-fpm

Сообщение Akrobs » Пт окт 25, 2019 8:55 pm

ordex писал(а):
Пт окт 25, 2019 4:27 am
По этой же ссылке есть и о том, как временно пофиксить. Добавить $try_files $fastcgi_script_name =404; сразу после fastcgi_split_path_info
Я не настолько продвинут...Если подскажите куда это вписать, то буду благодарен.


Да, сегодня вот провайдер прислал письмо:
Информируем вас о критической уязвимости в php-fpm для PHP 7, которая позволяет удалённо выполнить код на сервере.

Атака возможна в конфигурациях nginx, в которых проброс в PHP-FPM осуществляется c разделением частей URL при помощи "fastcgi_split_path_info" и определением переменной окружения PATH_INFO, но без предварительной проверки существования файла директивой "try_files $fastcgi_script_name" или конструкцией "if (!-f $document_root$fastcgi_script_name)". Проблема в том числе проявляется в настройках, предлагаемых для платформы NextCloud. Например, уязвимы конфигурации с конструкциями вида:

location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
}

В базовых настройках, которые мы используем для ISP Manager, Vesta CP, DirectAdmin, такая конфигурация не используется, если вы меняли конфигурацию или настраивали самостоятельно, рекомендуем проверить и устранить уязвимость. Также мы настоятельно рекомендуем обновить php 7.x.x до актуальной версии (7.1.33, 7.2.24, 7.3.11)

Аватара пользователя
ordex
Сообщения: 307
Зарегистрирован: Вт ноя 20, 2018 2:47 pm

Re: Обнаружена уязвимость NGINX+PHP-fpm

Сообщение ordex » Пт окт 25, 2019 9:06 pm

Вы же сами запостили ссылку, по которой всё написано. Там инструкция для дефолтного конфига nextcloud. Убрать $request_uri из location / и добавить try_files $fastcgi_script_name =404 после fastcgi_split_path_info ^(.+?\.php)(\/.*|)$;

Шаблон brainy лежит в /etc/brainy/conf/vhosts/ это или vhosts.tpl если вы ничего не меняли или vhosts.local.tpl если делали свой. Найти там fastcgi_split_path_info ^(.+?\.php)(/.*)?$; и после неё вписать try_files $fastcgi_script_name =404; И пересобрать хосты.

Akrobs
Сообщения: 315
Зарегистрирован: Чт сен 21, 2017 10:48 pm
Откуда: Saint-Petersburg
Контактная информация:

Re: Обнаружена уязвимость NGINX+PHP-fpm

Сообщение Akrobs » Сб окт 26, 2019 10:42 am

ordex писал(а):
Пт окт 25, 2019 9:06 pm
Вы же сами запостили ссылку, по которой всё написано. Там инструкция для дефолтного конфига nextcloud. Убрать $request_uri из location / и добавить try_files $fastcgi_script_name =404 после fastcgi_split_path_info ^(.+?\.php)(\/.*|)$;

Шаблон brainy лежит в /etc/brainy/conf/vhosts/ это или vhosts.tpl если вы ничего не меняли или vhosts.local.tpl если делали свой. Найти там fastcgi_split_path_info ^(.+?\.php)(/.*)?$; и после неё вписать try_files $fastcgi_script_name =404; И пересобрать хосты.
Премного благодарен!

Я искал это в конфигах NGINX, /etc/nginx/site-avaliable

Теперь понятно, где. Уже исправил, но первую строчу в location не нашел.

Еще раз благодарю.

YAHOO
Сообщения: 17
Зарегистрирован: Вс окт 15, 2017 12:29 pm

Re: Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Сообщение YAHOO » Вс окт 27, 2019 11:05 am

я извиняюсь но там немного выше уже есть try_files $fastcgi_script_name =404;
добавить еще раз после fastcgi_split_path_info ^(.+?\.php)(/.*)?$;
или не нужно?
и почему этого нет в сегодняшнем обновлении?

Аватара пользователя
sbury
Сообщения: 608
Зарегистрирован: Вт фев 06, 2018 7:51 am

Re: Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Сообщение sbury » Ср окт 30, 2019 10:11 am

новый php-7.0 с фиксом для SAPI FPM, коитический баг CVE-2019-11043
новый php-7.1 с фиксом для SAPI FPM, коитический баг CVE-2019-11043
новый php-7.2 с фиксом для SAPI FPM, коитический баг CVE-2019-11043
новый php-7.3 с фиксом для SAPI FPM, коитический баг CVE-2019-11043

сделать
yum clean all
переустановить связку с панели вместе с пхп.

Аватара пользователя
ordex
Сообщения: 307
Зарегистрирован: Вт ноя 20, 2018 2:47 pm

Re: Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Сообщение ordex » Пн ноя 04, 2019 12:51 pm

sbury писал(а):
Ср окт 30, 2019 10:11 am
новый php-7.0 с фиксом для SAPI FPM, коитический баг CVE-2019-11043
новый php-7.1 с фиксом для SAPI FPM, коитический баг CVE-2019-11043
новый php-7.2 с фиксом для SAPI FPM, коитический баг CVE-2019-11043
новый php-7.3 с фиксом для SAPI FPM, коитический баг CVE-2019-11043

сделать
yum clean all
переустановить связку с панели вместе с пхп.
После этого все сайты, использующие mysql, падают наглухо. mysql.sock, который в /var/run/mysqld/ ищется в /var/lib/mysql/

Аватара пользователя
sbury
Сообщения: 608
Зарегистрирован: Вт фев 06, 2018 7:51 am

Re: Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Сообщение sbury » Пн ноя 04, 2019 3:37 pm

проверьте файл /etc/my.cnf

datadir=/var/lib/mysql
socket=/var/run/mysqld/mysql.sock

проверьте все ли актуально по этому посту

viewtopic.php?f=4&t=3707#p7939

Аватара пользователя
ordex
Сообщения: 307
Зарегистрирован: Вт ноя 20, 2018 2:47 pm

Re: Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Сообщение ordex » Пн ноя 04, 2019 4:15 pm

да, всё так, проблем с mysql нет, после обновления в php.ini путь до mysql.sock почему-то неправильный ( в пользовательских php.ini ) при этом в том php.ini который в /etc всё как надо. Поменял уже, странно это.

Ответить