PHP-FPMにおけるリモートコード実行の脆弱性を検証（NTTデータ先端技術）

NTTデータ先端技術は、「PHP-FPMに含まれるリモートコード実行に関する脆弱性（CVE-2019-11043）についての検証レポート」を公開した。

脆弱性と脅威セキュリティホール・脆弱性

2019.11.11 Mon 8:05

NTTデータ先端技術株式会社は11月6日、「PHP-FPMに含まれるリモートコード実行に関する脆弱性（CVE-2019-11043）についての検証レポート」を公開した。この脆弱性は、10月24日にThe PHP Groupにより公表されたもの。同社の松本拓也氏、上原渓一郎氏、鈴木涼太氏が報告している。

本脆弱性は、WebサーバアプリケーションNginxとPHP-FPMで構成される環境のPHP-FPMにおいて、特定の設定値が設定されている場合にリモートからの任意コード実行が可能となる脆弱性（CVE-2019-11043）が存在することが報告されたもの。PHP-FPMにおけるenv_path_infoに関する処理を行う際、使用される値の妥当性の確認が行われず、適切な処理が行われないことに起因する。本脆弱性は、CVSSv3スコアで9.8と評価されている。

NTTデータ先端技術は、この脆弱性の再現性について検証を行った。検証は、Ubuntu 18.04.2 64bit上のNginx 1.14.0およびPHP 7.1.33dev（脆弱性未対応の開発バージョン）をターゲットシステムとして実施した。疑似攻撃者のKali Linux 2018.01 64bitからNginxで使用されているWebサーバへのHTTPアクセス用のポートに対して不正なHTTP GETリクエストを送信し、PHPの実行環境に対して変数の上書きを試みた。検証の結果、コマンドの実行と実行結果の表示に成功した。

《吉澤亨史（ Kouji Yoshizawa ）》