• はてなブックマーク
  • テクノロジー
  • laravelのヤバい脆弱性をついたkinsing(kdevtmpfsi)というマルウェアに感染した話 CVE-2021-3129 - Qiita
  • Twitterでシェア
  • Facebookでシェア

laravelのヤバい脆弱性をついたkinsing(kdevtmpfsi)というマルウェアに感染した話 CVE-2021-3129 - Qiita

テクノロジー カテゴリーの変更を依頼 記事元:qiita.com/reopa_sharkun
適切な情報に変更
143users がブックマーク コメント 15

    記事へのコメント15

    • 注目コメント
    • 新着コメント
    azumi_s
    いや、デバッグモードONで表に出すのがそもそも…。

    その他
    n2s
    そもそもちょっとしたエラーごときでソースコードの一部ゲロゲロしちまうようなデバッグモードは第三者が見にくる環境では有害なので確実に無効化すべき

    その他
    stealthinu
    最近のlaravelでデバッグモードにしてると外から入られてクラックされるという事案があるらしい。

    その他
    queeuq
    laravelのドキュメントに書いてるでしょ?どうせ。おそらくdeployでproduction環境についてあたりで。/ https://laravel.com/docs/8.x/deployment はい。予想通り。/切り戻し手順も酷い。docker使ってるなら再デプロイするだけでしょ?

    その他
    igrep
    わかる限りマイニングぐらいで済んで良かった

    その他
    uzulla
    この脆弱性のトリックはとても面白い(phpの便利機能使いまくり)なので、php好きは必見です。

    その他
    igrep
    igrep わかる限りマイニングぐらいで済んで良かった

    2021/04/08 リンク

    その他
    hamaco
    PHPerKaigi 2021 で uzulla さんと cakephper さんが話してたやつだ! これ攻撃成功例あったのか。

    その他
    uzulla
    uzulla この脆弱性のトリックはとても面白い(phpの便利機能使いまくり)なので、php好きは必見です。

    2021/04/08 リンク

    その他
    mattn
    「この3つの条件を満たしていると、あなたのlaravelは、今すぐにでもマルウェアに感染する可能性があります。」お前はもう死んでいるやん...

    その他
    queeuq
    queeuq laravelのドキュメントに書いてるでしょ?どうせ。おそらくdeployでproduction環境についてあたりで。/ https://laravel.com/docs/8.x/deployment はい。予想通り。/切り戻し手順も酷い。docker使ってるなら再デプロイするだけでしょ?

    2021/04/07 リンク

    その他
    tenkoma
    知見をまとめてるのありがたい

    その他
    b_wa
    最近、とあるサービスのシステムエラーで画面にlaravelのデバッグ文が表示されるのを見たばかりなので、世の中にはデバッグONの環境なんて五万とあるんだろうなー

    その他
    dozo
    セキュリティは完璧(DEBUG_MODE=ON)

    その他
    Shinwiki
    デバッグONとか、デフォの公開設定のままとか、ls -lそのままshに渡しちゃうベテランとか、そんなんばっかだな

    その他
    azumi_s
    azumi_s いや、デバッグモードONで表に出すのがそもそも…。

    2021/04/07 リンク

    その他
    kazkun
    急いで確認したらignitionが入ってないのがあったけど、これはlaravelが古すぎなのかな?

    その他
    tito1201
    これかな? https://github.com/facade/ignition/issues/350 APP_DEBUG と ignition.php の enable_runnable_solutions を false に設定する / なんかコメント欄の治安悪いな

    その他
    n2s
    n2s そもそもちょっとしたエラーごときでソースコードの一部ゲロゲロしちまうようなデバッグモードは第三者が見にくる環境では有害なので確実に無効化すべき

    2021/04/07 リンク

    その他
    stealthinu
    stealthinu 最近のlaravelでデバッグモードにしてると外から入られてクラックされるという事案があるらしい。

    2021/04/07 リンク

    その他
    ya--mada
    500エラーを監視してたのか。ラッキーだったなぁ。でも、対策がダメなのでは?サーバーエラー吐いてなくても監視出来るように仕込まないと…

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    laravelのヤバい脆弱性をついたkinsing(kdevtmpfsi)というマルウェアに感染した話 CVE-2021-3129 - Qiita

    webサーバー上でlaravelを動かしていれば、ちょっとした設定のミスで誰でもマルウェアに感染する可能性...

    ブックマークしたユーザー

    • yamori04082023/02/10 yamori0408
    • spherical-moss2022/06/03 spherical-moss
    • kamm2021/04/30 kamm
    • J1382021/04/21 J138
    • lugecy2021/04/18 lugecy
    • murasuke2021/04/15 murasuke
    • okumuraa12021/04/13 okumuraa1
    • kai_kou2021/04/12 kai_kou
    • dieth2021/04/11 dieth
    • nijikot2021/04/09 nijikot
    • kumokaji2021/04/09 kumokaji
    • karahiyo2021/04/09 karahiyo
    • hdkINO332021/04/09 hdkINO33
    • mapk0y2021/04/09 mapk0y
    • ytacky2021/04/09 ytacky
    • rokujyouhitoma2021/04/09 rokujyouhitoma
    • YAA2021/04/09 YAA
    • nurse2021/04/08 nurse
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.