严重PHP漏洞使威联通设备面临远程代码执行风险

编辑 ：左右里

台湾网络附属存储（NAS）设备制造商威联通QNAP于周三表示，它正在修复一个已经存在三年的漏临远关键PHP漏洞（编号为CVE-2019-11043 ，CVSS评分9.8），洞使该漏洞可能被滥用以实现远程代码执行 。威联

遭披露的通设该漏洞的影响范围为 ：PHP版本低于7.1.33的7.1.x，低于7.2.24的备面7.2.x
，低于7.3.11的程代7.3.x，并且nginx配置不正确 。码执在 FPM 设置的行风险某些配置中，可能会触发与为 FCGI 协议数据保留的严重内存空间相关的缓冲区溢出漏洞  ，从而导致远程代码执行。漏临远

CVE-2019-11043 漏洞会影响使用以下 QNAP 操作系统版本的洞使设备 ：

QTS 5.0.x 及更高版本；

QTS 4.5.x 及更高版本；

QuTS hero h5.0.x 及更高版本；

QuTS hero h4.5.x 及更高版本；

QuTScloud c5.0.x 及更高版本。

要利用这个漏洞 ，威联需要nginx和php-fpm都在运行 。通设威联通指出
，备面QTS 、QuTS hero 和 QuTScloud 在默认情况下没有安装 nginx ，因此NAS 设备在默认配置中不受影响 。但如果用户已经在 NAS 上安装并运行 nginx 和 php-fpm ，则很可能受到影响 。

威联通表示已解决以下操作系统版本中的漏洞：

QTS 5.0.1.2034 build 20220515 及更高版本；

QuTS hero h5.0.0.2069 build 20220614 及更高版本
。

并将尽快发布其余操作系统版本的安全更新。

值得注意的是，据报道最近存在针对威联通网络附属存储 （NAS） 设备的新 ech0raix 勒索软件活动 。在5月份，威联通也警告了客户有新一波DeadBolt勒索软件攻击 ，并敦促他们安装最新更新。

除了敦促客户升级到最新版本的QTS或QuTS hero操作系统，威联通还建议这些设备不要暴露在互联网上 。

资讯来源：thehackernews

转载请注明出处和本文链接

每日涨知识

暗链

也称黑链
，是黑帽SEO的作弊手法之一 。目的就是利用高权重网站外链来提升自身站点排名。暗链是由攻击者入侵网站后植入的，且在网页上不可见或极易被忽略。但是搜索引擎仍然可以通过分析网页的源代码收录这些链接，以此迅速提高自身网站权重
，获得高额流量
。