Laravel高危漏洞，大家有收到通知么？

分享 / 4734 / 21 / 创建于 3年前

【阿里云】【高危漏洞预警】尊敬的cnmaijilun，您好，2021年1月13日，阿里云应急响应中心监控到国外某安全研究团队披露了Laravel <= 8.4.2 存在远程代码执行漏洞。攻击者可直接发起恶意请求，通过构造恶意Log文件等方式触发Phar反序列化，从而造成远程代码执行。经阿里云工程师紧急排查，您的服务器: http://我是马赛克pt.com/ 疑似受漏洞影响，建议您尽快使用阿里云云安全中心应急漏洞模块进行一键检测。参考：p.tb.cn/74s4TO

当你的才华撑不起你的野心的时候，你就必须静下心来学习

本帖已被设为精华帖！

本帖由系统于 3年前自动加精

课程读者 64 声望

php开发 @ 某某科技有限公司

暂无个人描述~

《L01 基础入门》

我们将带你从零开发一个项目并部署到线上，本课程教授 Web 开发中专业、实用的技能，如 Git 工作流、Laravel Mix 前端工作流等。

《L04 微信小程序从零到发布》

从小程序个人账户申请开始，带你一步步进行开发一个微信小程序，直到提交微信控制台上线发布。

推荐文章：

更多推荐...

高效办公小技巧——如何批量处理 SQL 文件？ 19 / 10 |

[求职] 陈大剩的个人简历 15 / 22 |

📙《高并发的哲学原理》开源图书发布十一天 star 数已经破千！ 47 / 16 |

微信小程序、抖音小程序、百度小程序、支付宝小程序、快手小程序集合（支付、手机号解密、获取Token、模版消息、支付异步通知、退款、订单查询） 18 / 13 |

已经收到满意的 offer 了 28 / 35 |

画江湖之SQL优化 -10大经典案例场景 16 / 8 |

讨论数量: 21

Summer

站长 11.3k 声望 / 维护者 @ LearnKu.com

线上无论如何都要避免开启 Debug 模式，很多组件在 debug 开启的情况下基本上都不考虑安全问题。

已经发送系统信息提醒大家。

3年前评论

Summer

站长 11.3k 声望 / 维护者 @ LearnKu.com

线上无论如何都要避免开启 Debug 模式，很多组件在 debug 开启的情况下基本上都不考虑安全问题。

已经发送系统信息提醒大家。

3年前评论

龚国玮

13 声望

写了一个脚本，每次提交代码，都会关闭 debug :grin:

3年前评论

aruisi

25 声望 / 编程者 @ 终身编程者

file 生产不应该有这个包吧，执行命令时应该要区别生产和dev环境的

3年前评论

MArtian

版主 3.1k 声望

线上环境开debug还是很少的

3年前评论

OrangBus

课程读者 86 声望 / 技术组长 @ 橙子工作室

看了下自己的版本是8.5以上

3年前评论

wxvirus

课程读者 32 声望

生产环境还开这个,玩蛇哦,测试环境开开就拉倒了。

3年前评论

木鱼

课程读者 0 声望

@xin6841414 咋更新啊？

3年前评论

mowangjuanzi

@xin6841414 你可以尝试升级到6.x 。该版本也是正在维护版本

mowangjuanzi

@xin6841414 升级啥8.4呀。先升级到v6。然后等运行一段时间。觉得没啥问题了。然后等着9出来，升级9呀。哈哈

xin6841414 （楼主）

先把env里debug关了吧，至于升级，小版本可以composer直接升，大版本就不合适了，可能存在不兼容的情况，我这用的5.8，升8.4有点尴尬

thebestxt

487 声望 / 开发者 @ 大连市大白猫啥都干互联网服务工作室

laravel的vendor里有个带phpunit的东西，我的阿里云一直给我预警，预警好几个月了，有一次上班划水顺手上了服务器，找到对应文件给删了，就再也不告警了。。。

3年前评论

xin6841414 （楼主）

有点狠，phpunit也是只有测试环境装的，不想用就composer remove，你直接删了不合规矩，^_^

madoka-kaname

课程读者 0 声望

攻击就攻击吧，反正测试机和正式机不是一台，重要的配置和数据在测试机也没放，线上日志用的也是阿里云的日志管理 :unamused:

3年前评论

raybon

Laravel 8.x 译者 285 声望 / php @ 远程

有时候老忘 :joy:

3年前评论

lanhaonan

课程读者 0 声望

github.com/facade/ignition/pull/33...

修复分支合并到主分支的时间为2020年11月17日.

2020年11月17日之后创建的项目不用太担心.

漏洞利用: www.ambionics.io/blog/laravel-debu...

3年前评论

Vick

课程读者 79 声望

"【阿里云】【高危漏洞预警】尊敬的 cnmaijilun "

这个账号名称很有喜感，不好意思，关注跑偏了~ :joy:

3年前评论

xin6841414 （楼主）

:joy: 公司的账号，我也这么觉得

yu1ec

...,你这不说，还好，一说我感觉回不去了

kowy

没读懂啥意思

欲饮琵琶码上催

14 声望

吓得我赶紧去升级我laravel5.x构建的项目

稍加思索，我发现我不会升级。还停留在学习php面向对象的我。表示很难受

3年前评论

勇敢的心

见习助教 800 声望

线上开DEBUG的程序员可以回家种田了！ :unamused:

3年前评论

cherryne

课程读者 26 声望

经常更新

3年前评论

fogwang

课程读者 5 声望

线上也开启 Debug 模式，不知道这些人咱想的，Debug 模式只是为了方便本地调试的

3年前评论

wen123

17 声望

线上开debug是新手吧，估计也不会关注什么安全问题 :joy:

3年前评论

江湖

课程读者 15 声望

难道是在说我么┐（─__─）┌

3年前评论

胖猪猪

见习助教 12 声望

没开

3年前评论

阿时丶丶丶

课程读者 1 声望

收到看了下嗯还好我没开

3年前评论

xin6841414

课程读者 64 声望 / php开发 @ 某某科技有限公司

测试项目和正式项目在一个服务器上，看来还是更新靠谱！

3年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

64 声望

php开发 @ 某某科技有限公司

纠错改进

成为赞助商