推薦教學:《laravel》
#今天我們發布了一些修復程序,以解決我們在週末收到通知的框架中的安全漏洞。
受此漏洞影響的主要是使用「 cookie」會話驅動程式的應用程式。 由於我們尚未發布Laravel Cookie安全問題補丁包發布了 5.5版本的框架的安全版本,因此建議所有執行Laravel Cookie安全問題補丁包發布了 5.5及更早版本的應用程式在其生產部署中不要使用「 cookie」會話驅動程式。
我們也發布了Passport 9.3.2,以提供與目前版本的兼容性。如果您在Laravel Cookie安全問題補丁包發布了 6.x或7.x上執行Passport,則應更新至今天的Passport 9.3.2版本。 Passport 版本不是安全版本。但是,該庫需要更新才能與當今的框架變更內容相容。
關於此漏洞,使用「 cookie」會話驅動程式的應用程式也透過其應用程式公開了一個加密 oracle,因此容易受到遠端程式碼執行的攻擊。 encryption oracle 是一種機制,例如對任意使用者的輸入進行加密,然後將加密後的字串顯示給使用者。這種方案的組合使用戶可以為任何純文字字串產生有效的 Laravel Cookie安全問題補丁包發布了 簽章加密字串,這樣,當應用程式使用「 cookie」驅動程式時,它們就可以產生Laravel Cookie安全問題補丁包發布了會話有效負載。
如今的修復程序在加密之前使用cookie名稱的HMAC哈希為cookie值添加前綴,然後在解密時驗證匹配的哈希,即使透過應用程式公開了加密oracle,也無法製作有效的cookie有效負載。
我個人為今天的安全發布所帶來的不便深表歉意,因為此修復程序的性質要求我們使Laravel Cookie安全問題補丁包發布了應用程式發布的現有加密cookie無效。感謝您的耐心與體諒。
原文網址:https://blog.laravel.com/laravel-cookie-security-releases
翻譯網址:https://learnku.com/laravel/t/ 47885
以上是Laravel Cookie安全問題補丁包發布了的詳細內容。更多資訊請關注PHP中文網其他相關文章!
