如何降低PHP 远程代码执行漏洞攻击风险？

文/郑先伟

（作者单位为中国教育和科研计算机网应急响应组）

10 月教育网运行正常，未发现影响严重的安全事件。近日，最高人民法院、最高人民检察院联合对外发布了《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（下称司法解释），该司法解释对拒不履行信息网络安全管理义务罪、非法利用信息网络罪和帮助信息网络犯罪活动罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。解释中明确了拒不履行信息网络安全管理义务罪的主体范围、前提要件和入罪标准，并定义七种属于帮助网络犯罪的情形。学校作为网络服务提供者，需要对该司法解释给予高度重视，组织专项学习并部署后续网络安全工作，因为如果没有做好网络安全工作，很可能就要承担相应的法律责任。

近期投诉的安全事件较往年同期呈下降趋势。各类勒索病毒依然是近期新增病毒中需要关注的重点。

近期新增严重漏洞评述：

1.微软例行的10 月安全更新修补了59 个安全漏洞，其中有8 个属于严重等级。涉及的系统和软件包括：Microsoft Windows 系统 、Microsoft XML、Microsoft Excel、Jet 数据库、VBScript、Chakra 脚本、Azure App、Windows 远程桌面协议等Windows 平台下应用软件和组件。用户应该尽快使用系统自带的更新功能进行更新。需要额外提醒的是Window 10 v1803普通用户版将于11 月停止支持服务，使用该版本的用户应该尽快进行操作系统版本升级。

2.QEMU-KVM 是Linux 系统中常用的一种虚拟化解决方案，VHOST/VHOST_NET 是QEMU-KVM 虚 拟 化 平 台 中VIRTIO（I/O 虚拟化框架）Network 的后端实现方案，在Linux 内核层面负责处理虚拟机的网络包收发功能。由于VHOST/VHOST_NET 缺少对内核缓冲区的严格访问边界校验，导致存在内核逃逸漏洞。攻击者可通过在虚拟机中更改VIRTIO network 前端驱动，在该虚拟机被热迁移时，触发内核缓冲区溢出实现虚拟机逃逸，获得在宿主机内核中任意执行代码的权限，攻击者也可触发宿主机内核崩溃实现拒绝服务攻击。目前Linux 已经在最新的内核版本中修补了该漏洞，如果使用了该虚拟化平台，请尽快对内核进行升级。

2019 年9～10 月安全投诉事件统计

3.泛微e-cologyOA 系统是国内使用较为广泛的办公系统软件，不少高校也在使用该办公系统。最近有信息显示该系统的WorkflowCenterTreeData 接口在使用Oracle 数据库时，由于内置SQL 语句拼接检测不严格，导致存在SQL 注入漏洞。攻击者利用该漏洞，可在未授权的情况下，远程发送精心构造的SQL 语句，从而获取数据库敏感信息。鉴于漏洞带来的风险，建议使用该系统的用户尽快联系厂商确认自己的系统是否存在风险并进行相应的处置。

4.10 月15 日，Adobe 公 司 发 布 了Adobe Acrobat/Reader PDF 编辑和阅读软件的最新版本，用于修补之前版本中存在的多个安全漏洞，这些漏洞可能导致远程代码执行、敏感信息泄漏、拒绝服务攻击等。由于PDF 软件漏洞是黑客攻击非常频繁使用的漏洞，建议用户尽快升级自己系统上的Adobe Acrobat/Reader 软件。

安全提示

PHP 官方在9 月26 日发布公告称使用Nginx+php-fpm 的服务在部分配置下存在远程代码执行漏洞（CVE-2019-11043），如果用户使用了特定的配置（如完全复制Nginx 官方给出的php-fpm 示例配置）就存在被攻击的风险。10 月22 日该漏洞的攻击代码已被公开，后续可能会出现大量针对该漏洞的攻击。如果使用了Nginx+php-fpm 服务，可以采取如下操作来降低风险：

1. 如果不需要php-fpm 功能，可在Nginx 中暂停该功能；

2.修改 nginx 配置文件中fastcgi_split_path_info 的正则表达式，不允许.php 之后传入不可显字符；

3.删除配置文件中如下配置：

fastcgi_split_path_info ^(.+?.php)(/.★)$；

fastcgi_param PATH_INFO $fastcgi_path_info；