ã€æ¤œè¨¼ã€‘PHPã®ã‚³ãƒžãƒ³ãƒ‰å®Ÿè¡Œã®è„†å¼±æ€§ã‚’悪用ã™ã‚‹æ”»æ’ƒé€šä¿¡ã®æ¤œçŸ¥ (CVE-2019-11043)2019å¹´10月25æ—¥(日本時間)ã€PHP開発ãƒãƒ¼ãƒ ã¯PHP 7.1ã€7.2ã€7.3 ã«ãŠã„ã¦è„†å¼±æ€§ (CVE-2019-11043) ã‚’ä¿®æ£ã—ãŸãƒãƒ¼ã‚¸ãƒ§ãƒ³ã‚’公開ã—ã¾ã—ãŸã€‚ 本脆弱性ã¯ã€nginx 㨠PHP-FPM を組ã¿åˆã‚ã›ãŸç’°å¢ƒã«ãŠã„ã¦ä»¥ä¸‹ã®ã‚ˆã†ãªè¨å®šãŒã•ã‚Œã¦ã„ã‚‹å ´åˆã«ã€ãƒªãƒ¢ãƒ¼ãƒˆã‚³ãƒžãƒ³ãƒ‰å®Ÿè¡ŒãŒå¯èƒ½ã«ãªã‚‹ã¨ã„ã†ã‚‚ã®ã§ã™ã€‚ location ~ [^/]\.php(/|$) { fastcgi_split_path_info ^(.+?\.php)(/.*)$; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_pass php:9000; ... } nginxå´ã®å‡¦ç†ã«ã¦URLã«æ”¹è¡Œã‚³ãƒ¼ãƒ‰(%0a, %0d)ãŒå«ã¾ã‚Œã‚‹éš›ã®ä¸å‚™ã«èµ·å› ã—ã€æ”»æ’ƒè€…ã¯ç´°å·¥ã—ãŸæ‚ªæ„ã®ã‚るリクエストをサーãƒã«é€ã‚‹ã“ã¨ã§ã€æœ¬è„†å¼±æ€§ã‚’悪用ã—ã¦PHPã®ä»»æ„ã®è¨å®š
{{#tags}}- {{label}}
{{/tags}}