叁二伍

国内顶级安全团队80sec于5.20日下午6点发布了一个关于nginx的漏洞通告，由于该漏洞的存在，使用nginx+php组建的网站只要允 许上传图片就可能被黑客入侵，直到5.21日凌晨，nginx尚未发布修复该漏洞的补丁；已经有一些网站被黑了，希望各位用了nginx+php cgi组合的赶紧把漏洞修补了！

据统计用nginx+php CGI的服务器数目大概有100万，这是一个庞大的数目，加入不赶快修改这个漏洞，后果不敢想象。有对这个0day进行详细了解的移步到http://www.80sec.com/nginx-securit.html。

解决方案：


关闭cgi.fix_pathinfo为0


或者


if ( $fastcgi_script_name ~ ..*/.*php ) {
return 403;
}

或者

location ~* .*.php($|/)
{
      if ($request_filename ~* (.*).php) {
            set $php_url $1;
      }
      if (!-e $php_url.php) {
            return 403;
      }

      fastcgi_pass  127.0.0.1:9000;
      fastcgi_index index.php;
      include fcgi.conf;
}