{"id":1531,"date":"2019-10-30T15:19:47","date_gmt":"2019-10-30T20:19:47","guid":{"rendered":"https:\/\/cert.pa\/?p=1531"},"modified":"2019-10-30T15:19:47","modified_gmt":"2019-10-30T20:19:47","slug":"csirt-panama-aviso-2019-10-29-vulnerabilidad-de-php-fpm-cve-2019-11043-puede-conducir-a-la-ejecucion-remota-de-codigo-en-servidores-web-nginx","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=1531","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2019-10-29 Vulnerabilidad de PHP-FPM (CVE-2019-11043) puede conducir a la ejecuci\u00f3n remota de c\u00f3digo en servidores web NGINX."},"content":{"rendered":"\n<p>Gravedad: Alta <br>\nFecha de publicaci\u00f3n: 29 de octubre de 2019<br>\nFecha de modificaci\u00f3n: 29 de octubre de 2019<br>\nN\u00famero de CVE: CVE-2019-11043<br>\nFuente: Common Vulnerabilities and Exposures (CVE)<br>\nSistemas Afectados<br>\n\u2022    PHP version 7.1.x por debajo de 7.1.33<br>\n\u2022    PHP version 7.2.x por debajo de 7.2.24<br>\n\u2022    PHP version 7.3.x por debajo de 7.3.11<\/p>\n\n\n\n<p><strong>I. Descripci\u00f3n<\/strong><\/p>\n\n\n\n<p>Vulnerabilidad de PHP 7.x, puede afectar los sitios web que usan PHP-FPM para ejecutar p\u00e1ginas PHP. El uso de PHP-FPM es particularmente com\u00fan en los sitios web con NGINX porque NGINX no tiene un tiempo de ejecuci\u00f3n de PHP en proceso. En cambio, NGINX act\u00faa como un proxy inverso para servidores de aplicaciones y administradores de procesos como PHP-FPM.<\/p>\n\n\n\n<p><strong> II. Soluci\u00f3n <\/strong><br> La vulnerabilidad reside en PHP-FPM en s\u00ed, no en NGINX, por lo que la \u00fanica soluci\u00f3n garantizada es actualizar a la versi\u00f3n parcheada de su versi\u00f3n de PHP. En estos casos seria de la siguiente manera, PHP 7.1.33, PHP 7.2.24 o PHP 7.3.11.<br> Fuente de descargas: <a href=\"https:\/\/www.php.net\/downloads.php\">https:\/\/www.php.net\/downloads.php<\/a><br> <\/p>\n\n\n\n<p><strong>III. Referencia a soluciones, herramientas e informaci\u00f3n<\/strong><\/p>\n\n\n\n<p>\u2022    Centro nacional de respuesta de incidentes de la informaci\u00f3n de Francia (CERT-FR).  Martes 29 de octubre del 2019. Recopilado en: <a href=\"https:\/\/www.cert.ssi.gouv.fr\/alerte\/CERTFR-2019-ALE-014\/\">https:\/\/www.cert.ssi.gouv.fr\/alerte\/CERTFR-2019-ALE-014\/<\/a><br> \u2022    Centro nacional de ciberseguridad de rep\u00fablica dominicana. Lunes 28 de octubre del 2019. Recopilado en: <a href=\"https:\/\/cncs.gob.do\/php7-vulnerabilidad-que-permite-ejecucion-codigo-remoto\/\">https:\/\/cncs.gob.do\/php7-vulnerabilidad-que-permite-ejecucion-codigo-remoto\/<\/a><br> \u2022    Common Vulnerabilities and Exposures (CVE). Recopilado en: <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2019-11043\">https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2019-11043<\/a><br> \u2022    Instituto nacional de est\u00e1ndares y tecnolog\u00eda (NIST). Recopilado en: <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2019-11043\">https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2019-11043<\/a><\/p>\n\n\n\n<p><strong>IV. Informaci\u00f3n de contacto<\/strong><br> CSIRT PANAMA<br> Autoridad Nacional para la Innovaci\u00f3n Gubernamental<br> E-Mail: info@cert.pa<br> Web: http:\/\/www.cert.pa<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Gravedad: Alta Fecha de publicaci\u00f3n: 29 de octubre de 2019 Fecha de modificaci\u00f3n: 29 de octubre de 2019 N\u00famero de CVE: CVE-2019-11043 Fuente: Common Vulnerabilities and Exposures (CVE) Sistemas Afectados \u2022 PHP version 7.1.x por&#8230;<\/p>\n","protected":false},"author":4,"featured_media":1532,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[],"class_list":["post-1531","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1531","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1531"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1531\/revisions"}],"predecessor-version":[{"id":1533,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1531\/revisions\/1533"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/1532"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1531"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1531"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1531"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}