Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Akrobs · Сообщение **Akrobs** » Чт окт 24, 2019 7:14 pm

Буквально сегодня прислали новость, что обнаружена серьезная уязвимость!

Вот пруф на источник https://nextcloud.com/blog/urgent-secur ... x-php-fpm/
Вопрос: будет ли обновление с исправлением безопасности?

ordex · Сообщение **ordex** » Пт окт 25, 2019 4:27 am

По этой же ссылке есть и о том, как временно пофиксить. Добавить $try_files $fastcgi_script_name =404; сразу после fastcgi_split_path_info

Akrobs · Сообщение **Akrobs** » Пт окт 25, 2019 8:55 pm

ordex писал(а): ↑
Пт окт 25, 2019 4:27 am
По этой же ссылке есть и о том, как временно пофиксить. Добавить $try_files $fastcgi_script_name =404; сразу после fastcgi_split_path_info

Я не настолько продвинут...Если подскажите куда это вписать, то буду благодарен.

Да, сегодня вот провайдер прислал письмо:

Информируем вас о критической уязвимости в php-fpm для PHP 7, которая позволяет удалённо выполнить код на сервере.

Атака возможна в конфигурациях nginx, в которых проброс в PHP-FPM осуществляется c разделением частей URL при помощи "fastcgi_split_path_info" и определением переменной окружения PATH_INFO, но без предварительной проверки существования файла директивой "try_files $fastcgi_script_name" или конструкцией "if (!-f $document_root$fastcgi_script_name)". Проблема в том числе проявляется в настройках, предлагаемых для платформы NextCloud. Например, уязвимы конфигурации с конструкциями вида:

location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
}

В базовых настройках, которые мы используем для ISP Manager, Vesta CP, DirectAdmin, такая конфигурация не используется, если вы меняли конфигурацию или настраивали самостоятельно, рекомендуем проверить и устранить уязвимость. Также мы настоятельно рекомендуем обновить php 7.x.x до актуальной версии (7.1.33, 7.2.24, 7.3.11)

ordex · Сообщение **ordex** » Пт окт 25, 2019 9:06 pm

Вы же сами запостили ссылку, по которой всё написано. Там инструкция для дефолтного конфига nextcloud. Убрать $request_uri из location / и добавить try_files $fastcgi_script_name =404 после fastcgi_split_path_info ^(.+?\.php)(\/.*|)$;

Шаблон brainy лежит в /etc/brainy/conf/vhosts/ это или vhosts.tpl если вы ничего не меняли или vhosts.local.tpl если делали свой. Найти там fastcgi_split_path_info ^(.+?\.php)(/.*)?$; и после неё вписать try_files $fastcgi_script_name =404; И пересобрать хосты.

Akrobs · Сообщение **Akrobs** » Сб окт 26, 2019 10:42 am

ordex писал(а): ↑
Пт окт 25, 2019 9:06 pm
Вы же сами запостили ссылку, по которой всё написано. Там инструкция для дефолтного конфига nextcloud. Убрать $request_uri из location / и добавить try_files $fastcgi_script_name =404 после fastcgi_split_path_info ^(.+?\.php)(\/.*|)$;

Шаблон brainy лежит в /etc/brainy/conf/vhosts/ это или vhosts.tpl если вы ничего не меняли или vhosts.local.tpl если делали свой. Найти там fastcgi_split_path_info ^(.+?\.php)(/.*)?$; и после неё вписать try_files $fastcgi_script_name =404; И пересобрать хосты.

Премного благодарен!

Я искал это в конфигах NGINX, /etc/nginx/site-avaliable

Теперь понятно, где. Уже исправил, но первую строчу в location не нашел.

Еще раз благодарю.

YAHOO · Сообщение **YAHOO** » Вс окт 27, 2019 11:05 am

я извиняюсь но там немного выше уже есть try_files $fastcgi_script_name =404;
добавить еще раз после fastcgi_split_path_info ^(.+?\.php)(/.*)?$;
или не нужно?
и почему этого нет в сегодняшнем обновлении?

Сообщение **sbury** » Ср окт 30, 2019 10:11 am

новый php-7.0 с фиксом для SAPI FPM, коитический баг CVE-2019-11043
новый php-7.1 с фиксом для SAPI FPM, коитический баг CVE-2019-11043
новый php-7.2 с фиксом для SAPI FPM, коитический баг CVE-2019-11043
новый php-7.3 с фиксом для SAPI FPM, коитический баг CVE-2019-11043

сделать
yum clean all
переустановить связку с панели вместе с пхп.

ordex · Сообщение **ordex** » Пн ноя 04, 2019 12:51 pm

sbury писал(а): ↑
Ср окт 30, 2019 10:11 am
новый php-7.0 с фиксом для SAPI FPM, коитический баг CVE-2019-11043
новый php-7.1 с фиксом для SAPI FPM, коитический баг CVE-2019-11043
новый php-7.2 с фиксом для SAPI FPM, коитический баг CVE-2019-11043
новый php-7.3 с фиксом для SAPI FPM, коитический баг CVE-2019-11043

сделать
yum clean all
переустановить связку с панели вместе с пхп.

После этого все сайты, использующие mysql, падают наглухо. mysql.sock, который в /var/run/mysqld/ ищется в /var/lib/mysql/

Сообщение **sbury** » Пн ноя 04, 2019 3:37 pm

проверьте файл /etc/my.cnf

datadir=/var/lib/mysql
socket=/var/run/mysqld/mysql.sock

проверьте все ли актуально по этому посту

viewtopic.php?f=4&t=3707#p7939

ordex · Сообщение **ordex** » Пн ноя 04, 2019 4:15 pm

да, всё так, проблем с mysql нет, после обновления в php.ini путь до mysql.sock почему-то неправильный ( в пользовательских php.ini ) при этом в том php.ini который в /etc всё как надо. Поменял уже, странно это.

BrainyCP

Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Re: Обнаружена уязвимость NGINX+PHP-fpm

Re: Обнаружена уязвимость NGINX+PHP-fpm

Re: Обнаружена уязвимость NGINX+PHP-fpm

Re: Обнаружена уязвимость NGINX+PHP-fpm

Re: Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Re: Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Re: Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Re: Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]

Re: Обнаружена уязвимость NGINX+PHP-fpm [Дополнено]