Laravel高危漏洞,大家有收到通知么?

【阿里云】【高危漏洞预警】尊敬的 cnmaijilun,您好,2021 年 1 月 13 日,阿里云应急响应中心监控到国外某安全研究团队披露了 Laravel <= 8.4.2 存在远程代码执行漏洞。攻击者可直接发起恶意请求,通过构造恶意 Log 文件等方式触发 Phar 反序列化,从而造成远程代码执行。经阿里云工程师紧急排查,您的服务器: http:// 我是马赛克 pt.com/ 疑似受漏洞影响,建议您尽快使用阿里云云安全中心应急漏洞模块进行一键检测。参考:p.tb.cn/74s4TO

当你的才华撑不起你的野心的时候,你就必须静下心来学习
本帖已被设为精华帖!
本帖由系统于 4年前 自动加精
xin6841414
《L05 电商实战》
从零开发一个电商项目,功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
讨论数量: 21
Summer

线上无论如何都要避免开启 Debug 模式,很多组件在 debug 开启的情况下基本上都不考虑安全问题。

已经发送系统信息提醒大家。

4年前 评论
xin6841414

测试项目和正式项目在一个服务器上,看来还是更新靠谱!

4年前 评论
Summer

线上无论如何都要避免开启 Debug 模式,很多组件在 debug 开启的情况下基本上都不考虑安全问题。

已经发送系统信息提醒大家。

4年前 评论

收到 看了下 嗯 还好我没开

4年前 评论

线上环境开 debug 还是很少的

4年前 评论

难道是在说我么┐(─__─)┌

4年前 评论

线上开 debug 是新手吧,估计也不会关注什么安全问题 :joy:

4年前 评论

线上也开启 Debug 模式,不知道这些人咱想的,Debug 模式只是为了方便本地调试的

4年前 评论
OrangBus

看了下自己的版本是 8.5 以上

4年前 评论

@xin6841414 咋更新啊?

4年前 评论
mowangjuanzi 4年前
mowangjuanzi 4年前
xin6841414 (楼主) 4年前

线上开 DEBUG 的程序员可以回家种田了! :unamused:

4年前 评论

生产环境还开这个,玩蛇哦,测试环境开开就拉倒了。

4年前 评论
欲饮琵琶码上催

吓得我赶紧去升级我 laravel5.x 构建的项目

稍加思索,我发现我不会升级。还停留在学习 php 面向对象的我。表示很难受

4年前 评论

"【阿里云】【高危漏洞预警】尊敬的 cnmaijilun"

这个账号名称很有喜感,不好意思,关注跑偏了~:joy:

4年前 评论
xin6841414 (楼主) 4年前
yu1ec 4年前
kowy 3年前

github.com/facade/ignition/pull/33...

修复分支合并到主分支的时间为 2020 年 11 月 17 日.

2020 年 11 月 17 日之后创建的项目不用太担心.

漏洞利用: www.ambionics.io/blog/laravel-debu...

4年前 评论

写了一个脚本,每次提交代码,都会关闭 debug :grin:

4年前 评论

有时候老忘 :joy:

4年前 评论

攻击就攻击吧,反正测试机和正式机不是一台,重要的配置和数据在测试机也没放,线上日志用的也是阿里云的日志管理 :unamused:

4年前 评论
thebestxt

laravel 的 vendor 里有个带 phpunit 的东西,我的阿里云一直给我预警,预警好几个月了,有一次上班划水顺手上了服务器,找到对应文件给删了,就再也不告警了。。。

4年前 评论
xin6841414 (楼主) 4年前
aruisi

file 生产不应该有这个包吧,执行命令时应该要区别生产和 dev 环境的

4年前 评论