ホームページ > PHPフレームワーク > Laravel > Laravel Cookieのセキュリティ問題パッチパッケージがリリースされました

Laravel Cookieのセキュリティ問題パッチパッケージがリリースされました

藏色散人
リリース: 2020-08-05 13:30:31
転載
3047 人が閲覧しました

推奨チュートリアル: 「laravel

Laravel Cookieのセキュリティ問題パッチパッケージがリリースされました

今日、通知の受信の問題を解決するための修正をいくつかリリースしました。フレームワークのセキュリティ脆弱性が見つかった週末。

この脆弱性の主な影響を受けるのは、「Cookie」セッション ドライバーを使用するアプリケーションです。 Laravel Cookieのセキュリティ問題パッチパッケージがリリースされました 5.5 のフレームワークの安全なバージョンはまだリリースされていないため、Laravel Cookieのセキュリティ問題パッチパッケージがリリースされました 5.5 以前を実行しているすべてのアプリケーションは、運用環境で「cookie」セッションドライバーを使用しないことをお勧めします。

現在のバージョンとの互換性を提供するために、Passport 9.3.2 もリリースしました。 Laravel Cookieのセキュリティ問題パッチパッケージがリリースされました 6.x または 7.x で Passport を実行している場合は、現在の Passport 9.3.2 バージョンに更新する必要があります。 Passport バージョンは安全なバージョンではありません。ただし、今日のフレームワークの変更と互換性を持たせるには、ライブラリを更新する必要があります。

この脆弱性に関しては、「Cookie」セッション ドライバーを使用するアプリケーションもアプリケーションを通じて暗号化オラクルを公開するため、リモート コード実行に対して脆弱です。暗号化オラクルは、任意のユーザーからの入力を暗号化し、暗号化された文字列をユーザーに表示するメカニズムです。このスキームの組み合わせにより、ユーザーは任意のプレーンテキスト文字列に対して有効な Laravel Cookieのセキュリティ問題パッチパッケージがリリースされました 署名付き暗号化文字列を生成できるため、アプリケーションが「Cookie」ドライバーを使用するときに Laravel Cookieのセキュリティ問題パッチパッケージがリリースされました セッション ペイロードを生成できます。

本日の修正では、暗号化前に Cookie 値に Cookie 名の HMAC ハッシュがプレフィックスとして付けられ、復号化時に一致するハッシュが検証されるため、暗号化オラクルがアプリケーション経由で公開された場合でも、有効な暗号化オラクルを作成できなくなります。クッキーペイロード。

この修正の性質上、Laravel Cookieのセキュリティ問題パッチパッケージがリリースされました アプリケーションによって発行された既存の暗号化 Cookie を無効にする必要があるため、本日のセキュリティ リリースによりご迷惑をおかけしたことを個人的にお詫び申し上げます。ご理解いただきありがとうございます。

元のアドレス: https://blog.laravel.com/laravel-cookie-security-releases

翻訳アドレス: https://learnku.com/laravel/t/ 47885

以上がLaravel Cookieのセキュリティ問題パッチパッケージがリリースされましたの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
ソース:learnku.com
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
最新の問題
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート