Laravel高危漏洞,大家有收到通知么?

【阿里云】【高危漏洞预警】尊敬的cnmaijilun,您好,2021年1月13日,阿里云应急响应中心监控到国外某安全研究团队披露了Laravel <= 8.4.2 存在远程代码执行漏洞。攻击者可直接发起恶意请求,通过构造恶意Log文件等方式触发Phar反序列化,从而造成远程代码执行。经阿里云工程师紧急排查,您的服务器: http://我是马赛克pt.com/ 疑似受漏洞影响,建议您尽快使用阿里云云安全中心应急漏洞模块进行一键检测。参考:p.tb.cn/74s4TO

当你的才华撑不起你的野心的时候,你就必须静下心来学习
本帖已被设为精华帖!
本帖由系统于 6个月前 自动加精
xin6841414
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
《L05 电商实战》
从零开发一个电商项目,功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等
讨论数量: 21
Summer

线上无论如何都要避免开启 Debug 模式,很多组件在 debug 开启的情况下基本上都不考虑安全问题。

已经发送系统信息提醒大家。

6个月前 评论
xin6841414

测试项目和正式项目在一个服务器上,看来还是更新靠谱!

6个月前 评论
Summer

线上无论如何都要避免开启 Debug 模式,很多组件在 debug 开启的情况下基本上都不考虑安全问题。

已经发送系统信息提醒大家。

6个月前 评论

收到 看了下 嗯 还好我没开

6个月前 评论

线上环境开debug还是很少的

6个月前 评论

难道是在说我么┐(─__─)┌

6个月前 评论

线上开debug是新手吧,估计也不会关注什么安全问题 :joy:

6个月前 评论

线上也开启 Debug 模式,不知道这些人咱想的,Debug 模式只是为了方便本地调试的

6个月前 评论

看了下自己的版本是8.5以上

6个月前 评论

@xin6841414 咋更新啊?

6个月前 评论
mowangjuanzi 6个月前
mowangjuanzi 6个月前
xin6841414 (楼主) 6个月前

线上开DEBUG的程序员可以回家种田了! :unamused:

6个月前 评论

生产环境还开这个,玩蛇哦,测试环境开开就拉倒了。

6个月前 评论

吓得我赶紧去升级我laravel5.x构建的项目

稍加思索,我发现我不会升级。还停留在学习php面向对象的我。表示很难受

6个月前 评论

"【阿里云】【高危漏洞预警】尊敬的 cnmaijilun "

这个账号名称很有喜感,不好意思,关注跑偏了~ :joy:

6个月前 评论
xin6841414 (楼主) 6个月前
ecareyu 6个月前
kowy 1个月前

github.com/facade/ignition/pull/33...

修复分支合并到主分支的时间为2020年11月17日.

2020年11月17日之后创建的项目不用太担心.

漏洞利用: www.ambionics.io/blog/laravel-debu...

6个月前 评论

写了一个脚本,每次提交代码,都会关闭 debug :grin:

6个月前 评论

有时候老忘 :joy:

6个月前 评论

攻击就攻击吧,反正测试机和正式机不是一台,重要的配置和数据在测试机也没放,线上日志用的也是阿里云的日志管理 :unamused:

6个月前 评论

laravel的vendor里有个带phpunit的东西,我的阿里云一直给我预警,预警好几个月了,有一次上班划水顺手上了服务器,找到对应文件给删了,就再也不告警了。。。

6个月前 评论
xin6841414 (楼主) 6个月前
aruisi

file 生产不应该有这个包吧,执行命令时应该要区别生产和dev环境的

6个月前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!