近期不断有用户收到阿里云的关于 ThinkPHP 缓存缺陷漏洞(参考: https://xianzhi.aliyun.com/forum/read/1973.html )推送,该漏洞并非正规的先知漏洞而仅仅是一个社区发帖,却被阿里云官方两次大范围的推送(意图似乎很明显~),这正常么?阿里云是没有热点事件可以营销了么?
官方再次申明,框架设计之初已经考虑到了这个问题,无论 3.2 还是 5.0 版本都提供了解决方案,所以不存在什么文中所述漏洞,不要造成无谓的恐慌。ThinkPHP5.0 的手册和快速入门均有提及如何部署,就算你没有按照官方的建议部署,攻击者也需要猜测你的缓存 Key 才能实施攻击。
如果你仍然不放心,可以采用下面的解决方案:
最后希望阿里云以后在播报漏洞的时候严谨一点,在一个官方尚未确认的前提下就公告漏洞而且大范围推送似乎并不合适。先知社区和阿里云的衔接流程也需要更加规范。
ThinkPHP 官方团队
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.