Как решить проблему с уязвимостью PHP-FPM + Nginx?

Question

[Alex]

Собственно новость: https://www.opennet.ru/opennews/art.shtml?num=51749

Мой конфиг

location ~ \.php$ {
                limit_req zone=php2zone burst=5 nodelay;
                try_files $uri =404;
                fastcgi_split_path_info ^(.+\.php)(/.+)$;
                fastcgi_pass unix:/var/run/php/php7.1-fpm.sock;
                fastcgi_index index.php;
                fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
                include fastcgi_params;
    }

Правильно ли я понял, что следует добавить try_files $fastcgi_script_name=404 после fastcgi_split_path_info ? или try_files $document_root$fastcgi_script_name=404

Answer 1

[FanatPHP]

Этот конфиг неуязвим
О чем, собственно, и написано по ссылке.

Answer 2

[Андрей Гаврилов]

Просто обновить php-fpm

Answer 3

[profesor08]

Обновись и забудь.

Answer 4

[ArgosX]

в php.ini выставить cgi.fix_pathinfo=0

А если через nginx то

location ~ \.php$ {
        try_files $fastcgi_script_name =404;
	fastcgi_index			index.php;
	fastcgi_param			script_FILENAME /scripts$fastcgi_script_name;
	include				fastcgi_params;
}

Comments

[Alex]

fix_pathinfo уже давно в нуле. Однако про это речи в статье нет, и пишут исправление уязвимости идёт именно в nginx при помощи проверки try_files.

[Alex]

в моем случае получается тоже try_files $fastcgi_script_name=404 или try_files $document_root$fastcgi_script_name=404 не подскажите?

Answer 5

[Владислав]

Советую использовать вот этот сайт