关于FRP-0.59.0版本当前依赖库存在的安全漏洞

fatedier / frp

A fast reverse proxy to help you expose a local server behind a NAT or firewall to the internet.

Apache License 2.0

84.18k stars 13.13k forks source link

Closed YouZiFeiLe closed 2 weeks ago

YouZiFeiLe commented 1 month ago

当前FRP 0.59.0版本存在以下依赖库安全漏洞

请将stdlib从1.22.4升级至1.22.5版本及以上 QQ截图20240713201713

0.59.0

0.59.0

linux/amd64

请将stdlib从1.22.4升级至1.22.5版本及以上

No response

zhangxinhui02 commented 1 month ago

我在服务器上部署frps 0.59.0版本，部署后的2小时内服务器被攻陷并开始对外发起TCP攻击。时间上很巧合，虽然不能确定是否是这个安全漏洞造成的失陷。

QQ_1720981112577

YouZiFeiLe commented 1 month ago

我在服务器上部署frps 0.59.0版本，部署后的2小时内服务器被攻陷并开始对外发起TCP攻击。时间上很巧合，虽然不能确定是否是这个安全漏洞造成的失陷。

我觉得吧。。。这个应该不是frp的锅。你合理怀疑下是不是自己服务器的安全基线没有做呢？至少ssh安全方面要做下安全基线吧。。。通过frp直接入侵的话，不会只有你这一个受害用户的

kaylio commented 1 month ago

不用docker的方式部署，有个问题吗？

YouZiFeiLe commented 1 month ago

不用docker的方式部署，有个问题吗？

当然有这个问题，docker和你用的传统部署没有什么区别，都是使用二进制产物进行部署的

wuai1024 commented 1 month ago

我也是部署的 frps和frpc 的 v0.59.0版本，目前没发现什么问题。

你可以 clone 下代码，修改依赖后重新打包再部署下试试看，问题是否依旧会复现。

zhangxinhui02 commented 1 month ago

目前已经重新部署了frps 0.59.0一段时间了，没发现问题，大概不是frp的锅。

github-actions[bot] commented 3 weeks ago

Issues go stale after 21d of inactivity. Stale issues rot after an additional 7d of inactivity and eventually close.