Страница 1 из 2

Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Добавлено: Чт окт 24, 2019 7:14 pm
Akrobs
Буквально сегодня прислали новость, что обнаружена серьезная уязвимость! :o
Вот пруф на источник https://nextcloud.com/blog/urgent-secur ... x-php-fpm/
Вопрос: будет ли обновление с исправлением безопасности? 8-)

Re: Обнаружена уязвимость NGINX+PHP-fpm

Добавлено: Пт окт 25, 2019 4:27 am
ordex
По этой же ссылке есть и о том, как временно пофиксить. Добавить $try_files $fastcgi_script_name =404; сразу после fastcgi_split_path_info

Re: Обнаружена уязвимость NGINX+PHP-fpm

Добавлено: Пт окт 25, 2019 8:55 pm
Akrobs
ordex писал(а):
Пт окт 25, 2019 4:27 am
По этой же ссылке есть и о том, как временно пофиксить. Добавить $try_files $fastcgi_script_name =404; сразу после fastcgi_split_path_info
Я не настолько продвинут...Если подскажите куда это вписать, то буду благодарен.


Да, сегодня вот провайдер прислал письмо:
Информируем вас о критической уязвимости в php-fpm для PHP 7, которая позволяет удалённо выполнить код на сервере.

Атака возможна в конфигурациях nginx, в которых проброс в PHP-FPM осуществляется c разделением частей URL при помощи "fastcgi_split_path_info" и определением переменной окружения PATH_INFO, но без предварительной проверки существования файла директивой "try_files $fastcgi_script_name" или конструкцией "if (!-f $document_root$fastcgi_script_name)". Проблема в том числе проявляется в настройках, предлагаемых для платформы NextCloud. Например, уязвимы конфигурации с конструкциями вида:

location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
}

В базовых настройках, которые мы используем для ISP Manager, Vesta CP, DirectAdmin, такая конфигурация не используется, если вы меняли конфигурацию или настраивали самостоятельно, рекомендуем проверить и устранить уязвимость. Также мы настоятельно рекомендуем обновить php 7.x.x до актуальной версии (7.1.33, 7.2.24, 7.3.11)

Re: Обнаружена уязвимость NGINX+PHP-fpm

Добавлено: Пт окт 25, 2019 9:06 pm
ordex
Вы же сами запостили ссылку, по которой всё написано. Там инструкция для дефолтного конфига nextcloud. Убрать $request_uri из location / и добавить try_files $fastcgi_script_name =404 после fastcgi_split_path_info ^(.+?\.php)(\/.*|)$;

Шаблон brainy лежит в /etc/brainy/conf/vhosts/ это или vhosts.tpl если вы ничего не меняли или vhosts.local.tpl если делали свой. Найти там fastcgi_split_path_info ^(.+?\.php)(/.*)?$; и после неё вписать try_files $fastcgi_script_name =404; И пересобрать хосты.

Re: Обнаружена уязвимость NGINX+PHP-fpm

Добавлено: Сб окт 26, 2019 10:42 am
Akrobs
ordex писал(а):
Пт окт 25, 2019 9:06 pm
Вы же сами запостили ссылку, по которой всё написано. Там инструкция для дефолтного конфига nextcloud. Убрать $request_uri из location / и добавить try_files $fastcgi_script_name =404 после fastcgi_split_path_info ^(.+?\.php)(\/.*|)$;

Шаблон brainy лежит в /etc/brainy/conf/vhosts/ это или vhosts.tpl если вы ничего не меняли или vhosts.local.tpl если делали свой. Найти там fastcgi_split_path_info ^(.+?\.php)(/.*)?$; и после неё вписать try_files $fastcgi_script_name =404; И пересобрать хосты.
Премного благодарен!

Я искал это в конфигах NGINX, /etc/nginx/site-avaliable

Теперь понятно, где. Уже исправил, но первую строчу в location не нашел.

Еще раз благодарю.

Re: Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Добавлено: Вс окт 27, 2019 11:05 am
YAHOO
я извиняюсь но там немного выше уже есть try_files $fastcgi_script_name =404;
добавить еще раз после fastcgi_split_path_info ^(.+?\.php)(/.*)?$;
или не нужно?
и почему этого нет в сегодняшнем обновлении?

Re: Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Добавлено: Ср окт 30, 2019 10:11 am
sbury
новый php-7.0 с фиксом для SAPI FPM, коитический баг CVE-2019-11043
новый php-7.1 с фиксом для SAPI FPM, коитический баг CVE-2019-11043
новый php-7.2 с фиксом для SAPI FPM, коитический баг CVE-2019-11043
новый php-7.3 с фиксом для SAPI FPM, коитический баг CVE-2019-11043

сделать
yum clean all
переустановить связку с панели вместе с пхп.

Re: Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Добавлено: Пн ноя 04, 2019 12:51 pm
ordex
sbury писал(а):
Ср окт 30, 2019 10:11 am
новый php-7.0 с фиксом для SAPI FPM, коитический баг CVE-2019-11043
новый php-7.1 с фиксом для SAPI FPM, коитический баг CVE-2019-11043
новый php-7.2 с фиксом для SAPI FPM, коитический баг CVE-2019-11043
новый php-7.3 с фиксом для SAPI FPM, коитический баг CVE-2019-11043

сделать
yum clean all
переустановить связку с панели вместе с пхп.
После этого все сайты, использующие mysql, падают наглухо. mysql.sock, который в /var/run/mysqld/ ищется в /var/lib/mysql/

Re: Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Добавлено: Пн ноя 04, 2019 3:37 pm
sbury
проверьте файл /etc/my.cnf

datadir=/var/lib/mysql
socket=/var/run/mysqld/mysql.sock

проверьте все ли актуально по этому посту

viewtopic.php?f=4&t=3707#p7939

Re: Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Добавлено: Пн ноя 04, 2019 4:15 pm
ordex
да, всё так, проблем с mysql нет, после обновления в php.ini путь до mysql.sock почему-то неправильный ( в пользовательских php.ini ) при этом в том php.ini который в /etc всё как надо. Поменял уже, странно это.