Laravel高危漏洞，大家有收到通知么？

分享 / 2 / 21 / 创建于 4年前

【阿里云】【高危漏洞预警】尊敬的 cnmaijilun，您好，2021 年 1 月 13 日，阿里云应急响应中心监控到国外某安全研究团队披露了 Laravel <= 8.4.2 存在远程代码执行漏洞。攻击者可直接发起恶意请求，通过构造恶意 Log 文件等方式触发 Phar 反序列化，从而造成远程代码执行。经阿里云工程师紧急排查，您的服务器: http:// 我是马赛克 pt.com/ 疑似受漏洞影响，建议您尽快使用阿里云云安全中心应急漏洞模块进行一键检测。参考：p.tb.cn/74s4TO

当你的才华撑不起你的野心的时候，你就必须静下心来学习

本帖已被设为精华帖！

本帖由系统于 4年前自动加精

课程读者 65 声望

php开发 @ 某某科技有限公司

暂无个人描述~

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

《L02 从零构建论坛系统》

以构建论坛项目 LaraBBS 为线索，展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。

推荐文章：

更多推荐...

针对 OpenSSH CVE-2024-6387 漏洞的升级 16 / 8 |

PHP使用yield 读取超大型目录、大目录的方法 15 / 14 |

guanguans/notify(2.x) - 多平台便捷推送通知 SDK(已支持 27 家平台) 13 / 14 |

探讨一下大数据量的导出Excel 方案 11 / 57 |

高效办公小技巧——如何批量处理 SQL 文件？ 19 / 11 |

通联支付对接小技巧——汇入金接入介绍及流程设计 12 / 7 |

讨论数量: 21

Summer

站长 11.3k 声望 / 维护者 @ LearnKu.com

线上无论如何都要避免开启 Debug 模式，很多组件在 debug 开启的情况下基本上都不考虑安全问题。

已经发送系统信息提醒大家。

4年前评论

cherryne

课程读者 26 声望

经常更新

4年前评论

xin6841414

课程读者 65 声望 / php开发 @ 某某科技有限公司

测试项目和正式项目在一个服务器上，看来还是更新靠谱！

4年前评论

Summer

站长 11.3k 声望 / 维护者 @ LearnKu.com

线上无论如何都要避免开启 Debug 模式，很多组件在 debug 开启的情况下基本上都不考虑安全问题。

已经发送系统信息提醒大家。

4年前评论

阿时丶丶丶

课程读者 1 声望

收到看了下嗯还好我没开

4年前评论

胖猪猪

见习助教 12 声望

没开

4年前评论

MArtian

版主 3.8k 声望

线上环境开 debug 还是很少的

4年前评论

江湖

课程读者 15 声望

难道是在说我么┐（─__─）┌

4年前评论

wen123

17 声望

线上开 debug 是新手吧，估计也不会关注什么安全问题

4年前评论

fogwang

课程读者 5 声望

线上也开启 Debug 模式，不知道这些人咱想的，Debug 模式只是为了方便本地调试的

4年前评论

OrangBus

课程读者 95 声望 / 技术组长 @ 橙子工作室

看了下自己的版本是 8.5 以上

4年前评论

木鱼

课程读者 0 声望

@xin6841414 咋更新啊？

4年前评论

mowangjuanzi

@xin6841414 你可以尝试升级到6.x 。该版本也是正在维护版本

mowangjuanzi

@xin6841414 升级啥8.4呀。先升级到v6。然后等运行一段时间。觉得没啥问题了。然后等着9出来，升级9呀。哈哈

xin6841414 （楼主）

先把env里debug关了吧，至于升级，小版本可以composer直接升，大版本就不合适了，可能存在不兼容的情况，我这用的5.8，升8.4有点尴尬

勇敢的心

见习助教 846 声望

线上开 DEBUG 的程序员可以回家种田了！

4年前评论

wxvirus

课程读者 32 声望

生产环境还开这个，玩蛇哦，测试环境开开就拉倒了。

4年前评论

欲饮琵琶码上催

44 声望 / 一个体验更好的Laravel中文文档 @ laravel.wiki

吓得我赶紧去升级我 laravel5.x 构建的项目

稍加思索，我发现我不会升级。还停留在学习 php 面向对象的我。表示很难受

4年前评论

Vick

课程读者 79 声望

"【阿里云】【高危漏洞预警】尊敬的 cnmaijilun"

这个账号名称很有喜感，不好意思，关注跑偏了～

4年前评论

xin6841414 （楼主）

公司的账号，我也这么觉得

yu1ec

...,你这不说，还好，一说我感觉回不去了

kowy

没读懂啥意思

lanhaonan

课程读者 0 声望

github.com/facade/ignition/pull/33...

修复分支合并到主分支的时间为 2020 年 11 月 17 日.

2020 年 11 月 17 日之后创建的项目不用太担心.

漏洞利用: www.ambionics.io/blog/laravel-debu...

4年前评论

龚国玮

13 声望

写了一个脚本，每次提交代码，都会关闭 debug

4年前评论

raybon

Laravel 8.x 译者 332 声望 / php @ 远程

有时候老忘

4年前评论

madoka-kaname

课程读者 0 声望

攻击就攻击吧，反正测试机和正式机不是一台，重要的配置和数据在测试机也没放，线上日志用的也是阿里云的日志管理

4年前评论

thebestxt

493 声望 / 开发者 @ 大连市大白猫啥都干互联网服务工作室

laravel 的 vendor 里有个带 phpunit 的东西，我的阿里云一直给我预警，预警好几个月了，有一次上班划水顺手上了服务器，找到对应文件给删了，就再也不告警了。。。

4年前评论

xin6841414 （楼主）

有点狠，phpunit也是只有测试环境装的，不想用就composer remove，你直接删了不合规矩，^_^

aruisi

25 声望 / 编程者 @ 终身编程者

file 生产不应该有这个包吧，执行命令时应该要区别生产和 dev 环境的

4年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

65 声望

php开发 @ 某某科技有限公司

纠错改进

成为赞助商