Laravel Cookieのセキュリティ問題パッチパッケージがリリースされました

                                                       

推奨チュートリアル: 「laravel」

今日、通知の受信の問題を解決するための修正をいくつかリリースしました。フレームワークのセキュリティ脆弱性が見つかった週末。

この脆弱性の主な影響を受けるのは、「Cookie」セッション ドライバーを使用するアプリケーションです。 Laravel Cookieのセキュリティ問題パッチパッケージがリリースされました 5.5 のフレームワークの安全なバージョンはまだリリースされていないため、Laravel Cookieのセキュリティ問題パッチパッケージがリリースされました 5.5 以前を実行しているすべてのアプリケーションは、運用環境で「cookie」セッションドライバーを使用しないことをお勧めします。

現在のバージョンとの互換性を提供するために、Passport 9.3.2 もリリースしました。 Laravel Cookieのセキュリティ問題パッチパッケージがリリースされました 6.x または 7.x で Passport を実行している場合は、現在の Passport 9.3.2 バージョンに更新する必要があります。 Passport バージョンは安全なバージョンではありません。ただし、今日のフレームワークの変更と互換性を持たせるには、ライブラリを更新する必要があります。

この脆弱性に関しては、「Cookie」セッション ドライバーを使用するアプリケーションもアプリケーションを通じて暗号化オラクルを公開するため、リモート コード実行に対して脆弱です。暗号化オラクルは、任意のユーザーからの入力を暗号化し、暗号化された文字列をユーザーに表示するメカニズムです。このスキームの組み合わせにより、ユーザーは任意のプレーンテキスト文字列に対して有効な Laravel Cookieのセキュリティ問題パッチパッケージがリリースされました 署名付き暗号化文字列を生成できるため、アプリケーションが「Cookie」ドライバーを使用するときに Laravel Cookieのセキュリティ問題パッチパッケージがリリースされました セッション ペイロードを生成できます。

本日の修正では、暗号化前に Cookie 値に Cookie 名の HMAC ハッシュがプレフィックスとして付けられ、復号化時に一致するハッシュが検証されるため、暗号化オラクルがアプリケーション経由で公開された場合でも、有効な暗号化オラクルを作成できなくなります。クッキーペイロード。

この修正の性質上、Laravel Cookieのセキュリティ問題パッチパッケージがリリースされました アプリケーションによって発行された既存の暗号化 Cookie を無効にする必要があるため、本日のセキュリティ リリースによりご迷惑をおかけしたことを個人的にお詫び申し上げます。ご理解いただきありがとうございます。

元のアドレス: https://blog.laravel.com/laravel-cookie-security-releases

翻訳アドレス: https://learnku.com/laravel/t/ 47885

以上がLaravel Cookieのセキュリティ問題パッチパッケージがリリースされましたの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。