尊敬的用戶：

您好！

近 期 PHP 開(kāi)發團隊發布公告稱，使用 Nginx + php-fpm 的服務器，在特定情況下(xià)，可(kě)能(néng)存在遠程代碼執行(xíng)漏洞。該漏洞利用代碼已于 10 月 22 日被公開(kāi)。

事件概要(yào) ：

漏洞描述：

Nginx 上(shàng) fastcgi_split_path_info 在處理帶有%0a的請(qǐng)求時(shí)，會因為(wèi)遇到換行(xíng)符n導緻 PATH_INFO 為(wèi)空。而 php-fpm 在處理PATH_INFO為(wèi)空的情況下(xià)，存在邏輯缺陷。攻擊者通(tōng)過 精心的構造和(hé)利用，可(kě)以進行(xíng)遠程代碼執行(xíng)。

處置建議(yì)：

1.排查所有的 Nginx + php-fpm 服務器是否按照前述方式配 置。2.近期不要(yào)使用 TeamViewer 遠程工(gōng)具進行(xíng)遠程；

2.在不影響正常業務的情況下(xià)，删除 Nginx 配置文件中的如(rú) 下(xià)配置：

鑒于上(shàng)述情況可(kě)能(néng)引發安全事件，易信科技提醒各客戶關注此次事件，做(zuò)好以下(xià)工(gōng)作(zuò)：

1.一(yī)旦發現立即斷開(kāi)被入侵的主機系統的網絡連接，防止進一(yī)步危害；

2.留存相關日志信息

3.通(tōng)過“解決方案”加固系統并通(tōng)過檢查确認無相關漏洞 後再恢複網絡連接。

北京瑞杉數據科技中心（普通合夥）
2019年(nián)10月26日