PHP 7: scoperto un bug Remote Code Execution CVE-2019-11043
PHP 7 è una realtà da diversi mesi ormai e sebbene questo famoso linguaggio di programmazione abbia visto molte novità durante i suoi anni di vita, è altrettanto vero che i bug sono sempre “dietro l’angolo”.
È da poco stata scoperta infatti una vulnerabilità di PHP 7 che potrebbe essere utilizzata da remoto da alcuni malintenzionati; il tutto per eseguire del codice malevolo su siti web che utilizzano server web Nginx con FPM abilitato.
Tale vulnerabilità fa sì che il modulo FPM scriva i buffer allocati passati nello spazio riservato a FastCGI, aprendo così la possibilità di eseguire codice in modalità remota.
Per chi non lo sapesse Nginx è un web server ad alte prestazioni mentre FPM è l’acronimo di Fast Process Manager, un sistema molto evoluto che consente di esaudire più richieste di pagine web in contemporanea in modo molto veloce.
Per risolvere la problematica basta aggiornare il proprio spazio web con l’utilizzo di una specifica versione di PHP 7, scopriamo quali sono in base alla release già utilizzata:
[adrotate banner=”1″]
Versioni di PHP vulnerabili
A seguire vi proponiamo un piccolo schema con le versioni di PHP 7 afflitte dalla vulnerabilità:
- PHP 7.1.x precedenti alla 7.1.33;
- PHP 7.2.x precedenti alla 7.2.24;
- PHP 7.3.x precedenti alla 7.3.11.
Versioni di PHP che risolvono il bug CVE-2019-11043:
A seguire vi proponiamo gli aggiornamenti per le versioni di PHP 7 che NON sono afflitte da questa vulnerabilità:
- Per i siti web che utilizzano PHP 7.1.x –> aggiornare a PHP 7.1.33;
- per i siti web che utilizzano PHP 7.2.x –> aggiornare a PHP 7.2.24;
- per i siti web che utilizzano PHP 7.3.x –> aggiornare a PHP 7.3.11.
Conclusioni
Ovviamente vi suggeriamo di aggiornare i vostri spazi web alla versione di riferimento in modo tale da mettervi al riparo da questo problema mentre, dal canto nostro, stiamo tenendo monitorata la situazione.
Per i più tecnici e/o più curiosi suggeriamo una visita al sito CVE dove vengono mostrate ulteriori informazioni a riguardo, o sul sito/blog Qualys dove è stata fatta anche un’analisi più approfondita.
