Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ແຈ້ງເຕືອນ ພົບຊ່ອງໂຫວ່ RCE ໃນ PHP7 ມີໂຄ້ດ (Code) PoC ອອກແລ້ວ ແນະນຳຜູ້ໃຊ້ໃຫ້ອັບເດດ

ແຈ້ງເຕືອນ ພົບຊ່ອງໂຫວ່ RCE ໃນ PHP7 ມີໂຄ້ດ (Code) PoC ອອກແລ້ວ ແນະນຳຜູ້ໃຊ້ໃຫ້ອັບເດດ
ມີ​ການ​ຄົ້ນ​ພົບ​ຊ່ອງ​ໂຫວ່​ໃນ PHP ເວີ​ຊັ່ນ 7 ກັບ​ຜູ້​ໃຊ້​ງານ NGINX ທີ່​ເປີດ​ຄຸນສົມບັດ (Feature) PHP-FPM ຊຶ່ງ​ສາມາດ​ນຳ​ໄປ​ສູ່​ການເຮັດ Remote Code Execution ຊຶ່ງ​ພົບ​ໂຄ້​ດ ​(Code) ສາ​ທິດ​ການ​ໃຊ້​ງານ​ແລ້ວ​ຫຼາຍ​ແຫ່ງ ​ຈຶ່ງ​ແນະ​ນຳ​ໃຫ້​ຜູ້​ກ່ຽວ​ຂ້ອງທີ່ໃຊ້ PHP ເວີ​ຊັ່ນດັ່ງກ່າວ ອັບ​ເດດດ່ວນ.


ຊ່ອງ​ໂຫ​ວ່​ໝາຍ​ເລກ CVE-2019-11043 ຖືກ​ຄົ້ນ​ພົບ​ໂດຍ Andrew Danau ໃນລະຫວ່າງ​ການ​ແຂ່ງ​ຂັນ Capture The Flag (ຂອງ​ຕ່າງ​ປະເທດ) ຊຶ່ງ​ມີ​ຜົນ​ກະທົບ​ກັບ​ຜູ້​ໃຊ້​ງານ NGINX ທີ່​ເປີດ​ຟີ​ເຈີ PHP-FPM ທີ່​ມີ​ການ​ປະ​ກາດ​ຄ່າ Config ຕາມ​ຮູບ​ດ້ານ​ເທິງ​ຄື Regular Expression ແລະ Define PATH_INFO ດ້ວຍ fastcgi_param ລວມ​ເຖິງ​ບໍ່​ມີ​ການ​ກວດ URI ໃຫ້​ດີ​ພຽງ​ພໍ.

ໂດຍ​ວິທີ​ການ​ໃຊ້​ງານ​ຊ່ອງ​ໂຫວ່​ກໍ່​ຄື ​ຄົນ​ຮ້າຍ​ສາມາດເອີ້ນ URL ທີ່​ສ້າງ​ຂຶ້ນ​ແບບ​ພິເສດ​ດ້ວຍ​ການ​ຕໍ່​ທ້າຍ ‘?a=’ ແລະ ​ນຳ​ໄປ​ສູ່​ການ​ລັກ​ຣັນ (Run) ​ໂຄ້​ດ​, ຢ່າງໃດ​ກໍ່ຕາມ ​ມີ​ການ​ເປີດ​ເຜີຍ​ຕົວ​ຢ່າງ​ໂຄ້​ດ PoC ແລ້ວ​ຫຼາຍ​ບ່ອນ​ໃນ GitHub ປັດຈຸບັນ​ໄດ້​ມີ​ການ​ອອກ​ແພັດແກ້​ໄຂ (Patch) ​ແລ້ວ​ໃນ​ເວີຊັ່ນ 7.3.11 ແລະ 7.2.24 ຈຶ່ງ​ແນະ​ນຳ​ໃຫ້​ຜູ້​ໃຊ້ງານ​ຮີບ​ອັບ​ເດດ, ສຳລັບ​ຜູ້​ໃຊ້​ງານ​ທີ່​ຍັງ​ບໍ່​ສະ​ດວກ​ອັບ​ເດດ PHP ຫຼື ​ປິດ PHP-FPM ກໍ່​ຍັງ​ພໍ​ມີ​ທາງ​ບັນ​ເທົາ​ບັນຫາ​ດ້ວຍ​ການ​ໃຊ້ WAF ບ​ລັອກ %0a (newline) ເພື່ອ​ປ້ອງ​ກັນ​ການ​ໂຈມ​ຕີ​ເຂົ້າ​ມາ.

ເອກະສານອ້າງອີງ :  

  1. https://www.zdnet.com/article/nasty-php7-remote-code-execution-bug-exploited-in-the-wild/
  2. https://thehackernews.com/2019/10/nginx-php-fpm-hacking.html?
  3. https://www.techtalkthai.com/found-rce-vulnerability-in-php7-on-nginx/

ລາຍການຮູບ

Porher 29 October 2019 2,919 Print

ພາສາ (Language)

ຕິດຕາມ ລາວເຊີດ

  

ຄົ້ນຫາ