Dla połączenia rozwiązań nginx + PHP wersji >= 7.0 została odkryta
podatność oznaczona CVE-2019-11043 i jest dostępny na nią exploit.
Podatność umożliwia zdalne wykonanie kodu.
Dla narażonych wersji PHP został udostępniony patch:
https://bugs.php.net/patch-display.php?bug_id=78599&patch=0001-Fix-bug-78599-env_path_info-underflow-can-lead-to-RC.patch&revision=latest
Niestety na chwilę obecną nie jest dostępna oficjalna aktualizacja
usuwająca wspomnianą podatność. Nie ma na razie również informacji kiedy
zostanie udostępniona.
Rekomunizujemy administratorom korzystającym z w/w
zestawu rozwiązań dokonanie analizy ryzyka i podjęcie odpowiednich
działań minimalizujących zagrożenie.
Więcej szczegółów odnośnie podatności jest dostępnych pod adresem:
https://bugs.php.net/bug.php?id=78599