Критическая уязвимость PHP-FPM (CVE-2019-11043)

Стало известно о критической уязвимости PHP-FPM (CVE-2019-11043), которая позволяет удалённо выполнить вредоносный код на сервере.

Уже доступны корректирующие релизы PHP 7.3.11, 7.1.33 и 7.2.24, в которых устранена данная уязвимость. Найти их можно по ссылке.

По информации opennet.ru, атака возможна в конфигурациях nginx, в которых проброс в PHP-FPM осуществляется c разделением частей URL при помощи «fastcgi_split_path_info» и определением переменной окружения PATH_INFO, но без предварительной проверки существования файла директивой «try_files $fastcgi_script_name» или конструкцией «if (!-f $document_root$fastcgi_script_name)».


Читайте также

Изменение тарифов на SSL-сертификаты
Уважаемые Абоненты, сообщаем, что с 02.12.2019 будут внесены изменения в тарифы на SSL-сертификаты. С изменениями можно ознакомиться в разделе с тарифами.
Плановые сетевые работы
Уважаемые Абоненты, во вторник 22.10.2019 около 12:00 по МСК возможны краткосрочные перебои связи, которые обусловлены плановыми сетевыми работами. Приносим извинения…
Работы по оптимизации DNSmanager
Уважаемые Абоненты, в ночь с 13 на 14 октября (в 04:00 по МСК) запланированы работы по оптимизации DNSmanager, они положительно…