首頁 > php框架 > Laravel > Laravel Cookie安全問題補丁包發布了

Laravel Cookie安全問題補丁包發布了

藏色散人
發布: 2020-08-05 13:30:31
轉載
3047 人瀏覽過

推薦教學:《laravel

Laravel Cookie安全問題補丁包發布了

#今天我們發布了一些修復程序,以解決我們在週末收到通知的框架中的安全漏洞。

受此漏洞影響的主要是使用「 cookie」會話驅動程式的應用程式。 由於我們尚未發布Laravel Cookie安全問題補丁包發布了 5.5版本的框架的安全版本,因此建議所有執行Laravel Cookie安全問題補丁包發布了 5.5及更早版本的應用程式在其生產部署中不要使用「 cookie」會話驅動程式。

我們也發布了Passport 9.3.2,以提供與目前版本的兼容性。如果您在Laravel Cookie安全問題補丁包發布了 6.x或7.x上執行Passport,則應更新至今天的Passport 9.3.2版本。 Passport 版本不是安全版本。但是,該庫需要更新才能與當今的框架變更內容相容。

關於此漏洞,使用「 cookie」會話驅動程式的應用程式也透過其應用程式公開了一個加密 oracle,因此容易受到遠端程式碼執行的攻擊。 encryption oracle 是一種機制,例如對任意使用者的輸入進行加密,然後將加密後的字串顯示給使用者。這種方案的組合使用戶可以為任何純文字字串產生有效的 Laravel Cookie安全問題補丁包發布了 簽章加密字串,這樣,當應用程式使用「 cookie」驅動程式時,它們就可以產生Laravel Cookie安全問題補丁包發布了會話有效負載。

如今的修復程序在加密之前使用cookie名稱的HMAC哈希為cookie值添加前綴,然後在解密時驗證匹配的哈希,即使透過應用程式公開了加密oracle,也無法製作有效的cookie有效負載。

我個人為今天的安全發布所帶來的不便深表歉意,因為此修復程序的性質要求我們使Laravel Cookie安全問題補丁包發布了應用程式發布的現有加密cookie無效。感謝您的耐心與體諒。

原文網址:https://blog.laravel.com/laravel-cookie-security-releases

翻譯網址:https://learnku.com/laravel/t/ 47885

以上是Laravel Cookie安全問題補丁包發布了的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:learnku.com
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板