日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

2019年10月22日，在github上公開(kāi)了一個(gè)關(guān)于php的遠(yuǎn)程代碼執(zhí)行漏洞。

此漏洞由于不正確的Nginx+php-fpm配置導(dǎo)致服務(wù)端存在在處理%0a時(shí)存在不正確解析方式，可能導(dǎo)致任意代碼執(zhí)行。

通過(guò)請(qǐng)求包寫(xiě)入日志

查看phpinfo可以發(fā)現(xiàn)

查看/tmp/a

通過(guò)訪問(wèn)2.php可以實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行

修復(fù)方案：

1、請(qǐng)結(jié)合實(shí)際業(yè)務(wù)場(chǎng)景，在不影響正常業(yè)務(wù)的情況下，在 Nginx 的配置文件中刪除如下配置：

fastcgi_split_path_info ^(.+?.php)(/.*)$;

fastcgi_param PATH_INFO $fastcgi_path_info;

參考：

https://github.com/neex/phuip-fpizdam

以上是本次高危漏洞預(yù)警的相關(guān)信息