Webservers die op Nginx draaien kunnen door een ernstig beveiligingslek in PHP7 dat afgelopen donderdag werd gepatcht op afstand worden overgenomen en inmiddels zou de kwetsbaarheid actief worden aangevallen. Het lek bevindt zich in PHP-FPM, de FastCGI Process Manager (FPM) voor PHP.
Via FastCGI kan de browser gegevens van de webserver opvragen. De kwetsbaarheid (CVE-2019-11043) die afgelopen donderdag werd gepatcht maakt het in bepaalde gevallen voor een remote aanvaller mogelijk om willekeurige code op de webserver uit te voeren. De aanval is alleen mogelijk als er aan vier voorwaarden wordt voldaan, zo meldt securitybedrijf Tenable. Het gaat dan om gebruikte parameters en configuratieopties.
Nextcloud, opensourcesoftware voor online bestandsopslag, blijkt deze configuratie standaard te gebruiken. Next-cloudgebruikers krijgen dan ook het advies om hun PHP-versie te updaten en Nginx-configuratie aan te passen. De kwetsbaarheid is verholpen in PHP 7.3.11 en 7.2.24. Een proof-of-concept-exploit is inmiddels online verschenen en volgens securitybedrijf Bad Packets wordt de kwetsbaarheid actief aangevallen, zo laat het tegenover ZDnet weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.