V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kancloud
V2EX  ›  程序员

关于近期阿里云推送的 ThinkPHP 缓存设计缺陷问题的公告

  •  
  •   kancloud ·
    liu21st · 2017-08-29 11:52:23 +08:00 · 1901 次点击
    这是一个创建于 2404 天前的主题,其中的信息可能已经有所发展或是发生改变。

    近期不断有用户收到阿里云的关于 ThinkPHP 缓存缺陷漏洞(参考: https://xianzhi.aliyun.com/forum/read/1973.html )推送,该漏洞并非正规的先知漏洞而仅仅是一个社区发帖,却被阿里云官方两次大范围的推送(意图似乎很明显~),这正常么?阿里云是没有热点事件可以营销了么?

    官方再次申明,框架设计之初已经考虑到了这个问题,无论 3.2 还是 5.0 版本都提供了解决方案,所以不存在什么文中所述漏洞,不要造成无谓的恐慌。ThinkPHP5.0 的手册和快速入门均有提及如何部署,就算你没有按照官方的建议部署,攻击者也需要猜测你的缓存 Key 才能实施攻击。

    如果你仍然不放心,可以采用下面的解决方案:

    • TP3.2 设置:DATA_CACHE_KEY 参数
    • TP5 按照官方的部署建议做好目录权限,除公共目录绝对不要让外部可访问
    • TP5 在缓存目录可以对外访问的情况下也可以设置缓存前缀参数( prefix )

    最后希望阿里云以后在播报漏洞的时候严谨一点,在一个官方尚未确认的前提下就公告漏洞而且大范围推送似乎并不合适。先知社区和阿里云的衔接流程也需要更加规范。

    ThinkPHP 官方团队

    目前尚无回复
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2790 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 12:22 · PVG 20:22 · LAX 05:22 · JFK 08:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.