如何降低PHP 遠(yuǎn)程代碼執(zhí)行漏洞攻擊風(fēng)險(xiǎn)？

文/鄭先偉

（作者單位為中國教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）

10 月教育網(wǎng)運(yùn)行正常，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。近日，最高人民法院、最高人民檢察院聯(lián)合對外發(fā)布了《關(guān)于辦理非法利用信息網(wǎng)絡(luò)、幫助信息網(wǎng)絡(luò)犯罪活動(dòng)等刑事案件適用法律若干問題的解釋》（下稱司法解釋），該司法解釋對拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、非法利用信息網(wǎng)絡(luò)罪和幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪的定罪量刑標(biāo)準(zhǔn)和有關(guān)法律適用問題作了全面、系統(tǒng)的規(guī)定。解釋中明確了拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的主體范圍、前提要件和入罪標(biāo)準(zhǔn)，并定義七種屬于幫助網(wǎng)絡(luò)犯罪的情形。學(xué)校作為網(wǎng)絡(luò)服務(wù)提供者，需要對該司法解釋給予高度重視，組織專項(xiàng)學(xué)習(xí)并部署后續(xù)網(wǎng)絡(luò)安全工作，因?yàn)槿绻麤]有做好網(wǎng)絡(luò)安全工作，很可能就要承擔(dān)相應(yīng)的法律責(zé)任。

近期投訴的安全事件較往年同期呈下降趨勢。各類勒索病毒依然是近期新增病毒中需要關(guān)注的重點(diǎn)。

近期新增嚴(yán)重漏洞評述：

1.微軟例行的10 月安全更新修補(bǔ)了59 個(gè)安全漏洞，其中有8 個(gè)屬于嚴(yán)重等級。涉及的系統(tǒng)和軟件包括：Microsoft Windows 系統(tǒng) 、Microsoft XML、Microsoft Excel、Jet 數(shù)據(jù)庫、VBScript、Chakra 腳本、Azure App、Windows 遠(yuǎn)程桌面協(xié)議等Windows 平臺(tái)下應(yīng)用軟件和組件。用戶應(yīng)該盡快使用系統(tǒng)自帶的更新功能進(jìn)行更新。需要額外提醒的是Window 10 v1803普通用戶版將于11 月停止支持服務(wù)，使用該版本的用戶應(yīng)該盡快進(jìn)行操作系統(tǒng)版本升級。

2.QEMU-KVM 是Linux 系統(tǒng)中常用的一種虛擬化解決方案，VHOST/VHOST_NET 是QEMU-KVM 虛 擬 化 平 臺(tái) 中VIRTIO（I/O 虛擬化框架）Network 的后端實(shí)現(xiàn)方案，在Linux 內(nèi)核層面負(fù)責(zé)處理虛擬機(jī)的網(wǎng)絡(luò)包收發(fā)功能。由于VHOST/VHOST_NET 缺少對內(nèi)核緩沖區(qū)的嚴(yán)格訪問邊界校驗(yàn)，導(dǎo)致存在內(nèi)核逃逸漏洞。攻擊者可通過在虛擬機(jī)中更改VIRTIO network 前端驅(qū)動(dòng)，在該虛擬機(jī)被熱遷移時(shí)，觸發(fā)內(nèi)核緩沖區(qū)溢出實(shí)現(xiàn)虛擬機(jī)逃逸，獲得在宿主機(jī)內(nèi)核中任意執(zhí)行代碼的權(quán)限，攻擊者也可觸發(fā)宿主機(jī)內(nèi)核崩潰實(shí)現(xiàn)拒絕服務(wù)攻擊。目前Linux 已經(jīng)在最新的內(nèi)核版本中修補(bǔ)了該漏洞，如果使用了該虛擬化平臺(tái)，請盡快對內(nèi)核進(jìn)行升級。

2019 年9～10 月安全投訴事件統(tǒng)計(jì)

3.泛微e-cologyOA 系統(tǒng)是國內(nèi)使用較為廣泛的辦公系統(tǒng)軟件，不少高校也在使用該辦公系統(tǒng)。最近有信息顯示該系統(tǒng)的WorkflowCenterTreeData 接口在使用Oracle 數(shù)據(jù)庫時(shí)，由于內(nèi)置SQL 語句拼接檢測不嚴(yán)格，導(dǎo)致存在SQL 注入漏洞。攻擊者利用該漏洞，可在未授權(quán)的情況下，遠(yuǎn)程發(fā)送精心構(gòu)造的SQL 語句，從而獲取數(shù)據(jù)庫敏感信息。鑒于漏洞帶來的風(fēng)險(xiǎn)，建議使用該系統(tǒng)的用戶盡快聯(lián)系廠商確認(rèn)自己的系統(tǒng)是否存在風(fēng)險(xiǎn)并進(jìn)行相應(yīng)的處置。

4.10 月15 日，Adobe 公 司 發(fā) 布 了Adobe Acrobat/Reader PDF 編輯和閱讀軟件的最新版本，用于修補(bǔ)之前版本中存在的多個(gè)安全漏洞，這些漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行、敏感信息泄漏、拒絕服務(wù)攻擊等。由于PDF 軟件漏洞是黑客攻擊非常頻繁使用的漏洞，建議用戶盡快升級自己系統(tǒng)上的Adobe Acrobat/Reader 軟件。

安全提示

PHP 官方在9 月26 日發(fā)布公告稱使用Nginx+php-fpm 的服務(wù)在部分配置下存在遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2019-11043），如果用戶使用了特定的配置（如完全復(fù)制Nginx 官方給出的php-fpm 示例配置）就存在被攻擊的風(fēng)險(xiǎn)。10 月22 日該漏洞的攻擊代碼已被公開，后續(xù)可能會(huì)出現(xiàn)大量針對該漏洞的攻擊。如果使用了Nginx+php-fpm 服務(wù)，可以采取如下操作來降低風(fēng)險(xiǎn)：

1. 如果不需要php-fpm 功能，可在Nginx 中暫停該功能；

2.修改 nginx 配置文件中fastcgi_split_path_info 的正則表達(dá)式，不允許.php 之后傳入不可顯字符；

3.刪除配置文件中如下配置：

fastcgi_split_path_info ^(.+?.php)(/.★)$；

fastcgi_param PATH_INFO $fastcgi_path_info；