PHP PATH_INFO 存在漏洞 解决Nginx文件类型错误解析漏洞的方法

注：2010年5月23日14:00前阅读本文的朋友，请按目前v1.1版本的最新配置进行设置。

　　昨日，80Sec 爆出Nginx具有严重的0day漏洞，详见《Nginx文件类型错误解析漏洞》。只要用户拥有上传图片权限的Nginx+PHP服务器，就有被入侵的可能。

　　其实此漏洞并不是Nginx的漏洞，而是PHP PATH_INFO的漏洞，详见：http://bugs.php.net/bug.php?id=50852&edit=1

　　例如用户上传了一张照片，访问地址为http://www.domain.com/images/test.jpg，而test.jpg文件内的内容实际上是PHP代码时，通过http://www.domain.com/images/test.jpg/abc.php就能够执行该文件内的PHP代码。

　　网上提供的临时解决方法有：

　　方法①、修改php.ini，设置cgi.fix_pathinfo = 0;然后重启php-cgi。此修改会影响到使用PATH_INFO伪静态的应用，例如我以前博文的URL：http://blog.zyan.cc/read.php/348.htm 就不能访问了。

　　方法②、在nginx的配置文件添加如下内容后重启：if ( $fastcgi_script_name ~ \..*\/.*php ) {return 403;}。该匹配会影响类似http://www.domain.com/software/5.0/test.php（5.0为目录），http://www.domain.com/goto.php/phpwind 的URL访问。

　　方法③、对于存储图片的location{...}，或虚拟主机server{...}，只允许纯静态访问，不配置PHP访问。例如在金山逍遥网论坛、SNS上传的图片、附件，会传送到专门的图片、附件存储服务器集群上（pic.xoyo.com），这组服务器提供纯静态服务，无任何动态PHP配置。各大网站几乎全部进行了图片服务器分离，因此Nginx的此次漏洞对大型网站影响不大。

-------------------------------------------------------------------------------------------------------------------------

本人再提供一种修改nginx.conf配置文件的临时解决方法，兼容“http://blog.zyan.cc/demo/0day/phpinfo.php/test”的PATH_INFO伪静态，拒绝“http://blog.zyan.cc/demo/0day/phpinfo.jpg/test.php”的漏洞攻击：

 1 location ~* .*\.php($|/)
 2 {
 3       if ($request_filename ~* (.*)\.php) {
 4             set $php_url $1;
 5       }
 6       if (!-e $php_url.php) {
 7             return 403;
 8       }
 9 
10       fastcgi_pass  127.0.0.1:9000;
11       fastcgi_index index.php;
12       include fcgi.conf;
13 }

也可将以下内容写在fcgi.conf文件中，便于多个虚拟主机引用：

 1 if ($request_filename ~* (.*)\.php) {
 2     set $php_url $1;
 3 }
 4 if (!-e $php_url.php) {
 5     return 403;
 6 }
 7 
 8 fastcgi_param  GATEWAY_INTERFACE  CGI/1.1;
 9 fastcgi_param  SERVER_SOFTWARE    nginx;
10 
11 fastcgi_param  QUERY_STRING       $query_string;
12 fastcgi_param  REQUEST_METHOD     $request_method;
13 fastcgi_param  CONTENT_TYPE       $content_type;
14 fastcgi_param  CONTENT_LENGTH     $content_length;
15 
16 fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;
17 fastcgi_param  SCRIPT_NAME        $uri;
18 fastcgi_param  REQUEST_URI        $request_uri;
19 fastcgi_param  DOCUMENT_URI       $document_uri;
20 fastcgi_param  DOCUMENT_ROOT      $document_root;
21 fastcgi_param  SERVER_PROTOCOL    $server_protocol;
22 
23 fastcgi_param  REMOTE_ADDR        $remote_addr;
24 fastcgi_param  REMOTE_PORT        $remote_port;
25 fastcgi_param  SERVER_ADDR        $server_addr;
26 fastcgi_param  SERVER_PORT        $server_port;
27 fastcgi_param  SERVER_NAME        $server_name;
28 
29 # PHP only, required if PHP was built with --enable-force-cgi-redirect
30 fastcgi_param  REDIRECT_STATUS    200;

[文章作者：张宴 本文版本：v1.2 最后修改：2010.05.24 转载请注明原文链接：http://blog.zyan.cc/nginx_0day/]