Laravel高危漏洞,大家有收到通知么?

【阿里云】【高危漏洞预警】尊敬的cnmaijilun,您好,2021年1月13日,阿里云应急响应中心监控到国外某安全研究团队披露了Laravel <= 8.4.2 存在远程代码执行漏洞。攻击者可直接发起恶意请求,通过构造恶意Log文件等方式触发Phar反序列化,从而造成远程代码执行。经阿里云工程师紧急排查,您的服务器: http://我是马赛克pt.com/ 疑似受漏洞影响,建议您尽快使用阿里云云安全中心应急漏洞模块进行一键检测。参考:p.tb.cn/74s4TO

当你的才华撑不起你的野心的时候,你就必须静下心来学习
本帖已被设为精华帖!
本帖由系统于 1周前 自动加精
xin6841414
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
《L03 构架 API 服务器》
你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程,JWT 概念及使用 和 API 开发相关的进阶知识。
讨论数量: 21
Summer

线上无论如何都要避免开启 Debug 模式,很多组件在 debug 开启的情况下基本上都不考虑安全问题。

已经发送系统信息提醒大家。

1周前 评论
xin6841414

测试项目和正式项目在一个服务器上,看来还是更新靠谱!

2周前 评论
Summer

线上无论如何都要避免开启 Debug 模式,很多组件在 debug 开启的情况下基本上都不考虑安全问题。

已经发送系统信息提醒大家。

1周前 评论

收到 看了下 嗯 还好我没开

1周前 评论

线上环境开debug还是很少的

1周前 评论

难道是在说我么┐(─__─)┌

1周前 评论

线上开debug是新手吧,估计也不会关注什么安全问题 :joy:

1周前 评论

线上也开启 Debug 模式,不知道这些人咱想的,Debug 模式只是为了方便本地调试的

1周前 评论

看了下自己的版本是8.5以上

1周前 评论

@xin6841414 咋更新啊?

1周前 评论
mowangjuanzi 1周前
mowangjuanzi 1周前
xin6841414 (楼主) 1周前

线上开DEBUG的程序员可以回家种田了! :unamused:

1周前 评论

生产环境还开这个,玩蛇哦,测试环境开开就拉倒了。

1周前 评论

吓得我赶紧去升级我laravel5.x构建的项目

稍加思索,我发现我不会升级。还停留在学习php面向对象的我。表示很难受

1周前 评论

"【阿里云】【高危漏洞预警】尊敬的 cnmaijilun "

这个账号名称很有喜感,不好意思,关注跑偏了~ :joy:

1周前 评论
xin6841414 (楼主) 1周前
ecareyu 1周前

github.com/facade/ignition/pull/33...

修复分支合并到主分支的时间为2020年11月17日.

2020年11月17日之后创建的项目不用太担心.

漏洞利用: www.ambionics.io/blog/laravel-debu...

1周前 评论

写了一个脚本,每次提交代码,都会关闭 debug :grin:

1周前 评论

有时候老忘 :joy:

1周前 评论

攻击就攻击吧,反正测试机和正式机不是一台,重要的配置和数据在测试机也没放,线上日志用的也是阿里云的日志管理 :unamused:

5天前 评论

laravel的vendor里有个带phpunit的东西,我的阿里云一直给我预警,预警好几个月了,有一次上班划水顺手上了服务器,找到对应文件给删了,就再也不告警了。。。

4天前 评论
xin6841414 (楼主) 3天前
aruisi

file 生产不应该有这个包吧,执行命令时应该要区别生产和dev环境的

3天前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!