如何降低PHP 遠程代碼執行漏洞攻擊風險？

文/鄭先偉

（作者單位為中國教育和科研計算機網應急響應組）

10 月教育網運行正常，未發現影響嚴重的安全事件。近日，最高人民法院、最高人民檢察院聯合對外發布了《關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》（下稱司法解釋），該司法解釋對拒不履行信息網絡安全管理義務罪、非法利用信息網絡罪和幫助信息網絡犯罪活動罪的定罪量刑標準和有關法律適用問題作了全面、系統的規定。解釋中明確了拒不履行信息網絡安全管理義務罪的主體范圍、前提要件和入罪標準，并定義七種屬于幫助網絡犯罪的情形。學校作為網絡服務提供者，需要對該司法解釋給予高度重視，組織專項學習并部署后續網絡安全工作，因為如果沒有做好網絡安全工作，很可能就要承擔相應的法律責任。

近期投訴的安全事件較往年同期呈下降趨勢。各類勒索病毒依然是近期新增病毒中需要關注的重點。

近期新增嚴重漏洞評述：

1.微軟例行的10 月安全更新修補了59 個安全漏洞，其中有8 個屬于嚴重等級。涉及的系統和軟件包括：Microsoft Windows 系統 、Microsoft XML、Microsoft Excel、Jet 數據庫、VBScript、Chakra 腳本、Azure App、Windows 遠程桌面協議等Windows 平臺下應用軟件和組件。用戶應該盡快使用系統自帶的更新功能進行更新。需要額外提醒的是Window 10 v1803普通用戶版將于11 月停止支持服務，使用該版本的用戶應該盡快進行操作系統版本升級。

2.QEMU-KVM 是Linux 系統中常用的一種虛擬化解決方案，VHOST/VHOST_NET 是QEMU-KVM 虛 擬 化 平 臺 中VIRTIO（I/O 虛擬化框架）Network 的后端實現方案，在Linux 內核層面負責處理虛擬機的網絡包收發功能。由于VHOST/VHOST_NET 缺少對內核緩沖區的嚴格訪問邊界校驗，導致存在內核逃逸漏洞。攻擊者可通過在虛擬機中更改VIRTIO network 前端驅動，在該虛擬機被熱遷移時，觸發內核緩沖區溢出實現虛擬機逃逸，獲得在宿主機內核中任意執行代碼的權限，攻擊者也可觸發宿主機內核崩潰實現拒絕服務攻擊。目前Linux 已經在最新的內核版本中修補了該漏洞，如果使用了該虛擬化平臺，請盡快對內核進行升級。

2019 年9～10 月安全投訴事件統計

3.泛微e-cologyOA 系統是國內使用較為廣泛的辦公系統軟件，不少高校也在使用該辦公系統。最近有信息顯示該系統的WorkflowCenterTreeData 接口在使用Oracle 數據庫時，由于內置SQL 語句拼接檢測不嚴格，導致存在SQL 注入漏洞。攻擊者利用該漏洞，可在未授權的情況下，遠程發送精心構造的SQL 語句，從而獲取數據庫敏感信息。鑒于漏洞帶來的風險，建議使用該系統的用戶盡快聯系廠商確認自己的系統是否存在風險并進行相應的處置。

4.10 月15 日，Adobe 公 司 發 布 了Adobe Acrobat/Reader PDF 編輯和閱讀軟件的最新版本，用于修補之前版本中存在的多個安全漏洞，這些漏洞可能導致遠程代碼執行、敏感信息泄漏、拒絕服務攻擊等。由于PDF 軟件漏洞是黑客攻擊非常頻繁使用的漏洞，建議用戶盡快升級自己系統上的Adobe Acrobat/Reader 軟件。

安全提示

PHP 官方在9 月26 日發布公告稱使用Nginx+php-fpm 的服務在部分配置下存在遠程代碼執行漏洞（CVE-2019-11043），如果用戶使用了特定的配置（如完全復制Nginx 官方給出的php-fpm 示例配置）就存在被攻擊的風險。10 月22 日該漏洞的攻擊代碼已被公開，后續可能會出現大量針對該漏洞的攻擊。如果使用了Nginx+php-fpm 服務，可以采取如下操作來降低風險：

1. 如果不需要php-fpm 功能，可在Nginx 中暫停該功能；

2.修改 nginx 配置文件中fastcgi_split_path_info 的正則表達式，不允許.php 之后傳入不可顯字符；

3.刪除配置文件中如下配置：

fastcgi_split_path_info ^(.+?.php)(/.★)$；

fastcgi_param PATH_INFO $fastcgi_path_info；