Laravel Cookie安全问题补丁包发布了

2022-05-15 0 1,014

推荐教程:《laravel

Laravel Cookie安全问题补丁包发布了

今天我们发布了一些修复程序,以解决我们在周末收到通知的框架中的安全漏洞。

受此漏洞影响的主要是使用“ cookie”会话驱动程序的应用程序。 由于我们尚未发布Laravel 5.5版本的框架的安全版本,因此建议所有运行Laravel 5.5及更早版本的应用程序在其生产部署中不要使用“ cookie”会话驱动程序。

我们还发布了Passport 9.3.2,以提供与当前版本的兼容性。 如果您在Laravel 6.x或7.x上运行Passport,则应更新到今天的Passport 9.3.2版本。 Passport 版本不是安全版本。 但是,该库需要更新才能与当今的框架更改内容兼容。

关于此漏洞,使用“ cookie”会话驱动程序的应用程序也通过其应用程序公开了一个加密 oracle,因此容易受到远程代码执行的攻击。 encryption oracle 是一种机制,比如对任意用户的输入进行加密,然后将加密后的字符串显示给用户。 这种方案的组合使用户可以为任何纯文本字符串生成有效的 Laravel 签名加密字符串,这样,当应用程序使用“ cookie”驱动程序时,它们就可以生成Laravel会话有效负载。

如今的修复程序在加密之前使用cookie名称的HMAC哈希为cookie值添加前缀,然后在解密时验证匹配的哈希,即使通过应用程序公开了加密 oracle,也无法制作有效的cookie有效负载。

我个人为今天的安全发布所带来的不便深表歉意,因为此修复程序的性质要求我们使Laravel应用程序发布的现有加密cookie无效。 感谢您的耐心和理解。

原文地址:https://blog.laravel.com/laravel-cookie-security-releases

译文地址:https://learnku.com/laravel/t/47885

收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信/支付宝扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

【声明:根据2013年1月30日《计算机软件保护条例》2次修订第17条规定: 为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存 储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬! 鉴于此,也希望大家按此说明研究软件!】
本站所有源码尽量保证原汁原味,如有特殊情况会作出声明及标注,网站资源不做任何二次加密(原版加密除外,不影响程序使用的不会做解密处理),方便您更好的学习参考。 在您的能力范围内,为了大环境的良性发展,请尽可能的选择正版资源。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

即刻码站__国内靠谱的站长资源下载平台 php教程 Laravel Cookie安全问题补丁包发布了 https://www.jike1995.com/36762.html

常见问题
  • 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用
查看详情
  • 最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度
查看详情

相关文章

发表评论
暂无评论
官方客服团队

为您解决烦忧 - 24小时在线 专业服务