Publication du package de correctifs pour les problèmes de sécurité des cookies Laravel

                                                     

Tutoriel recommandé :《laravel》

Aujourd'hui, nous avons publié quelques correctifs pour résoudre notre problème de réception de notification. le week-end d'une faille de sécurité dans le framework.

Cette vulnérabilité concerne principalement les applications qui utilisent le pilote de session "cookie". Comme nous n'avons pas encore publié de version sécurisée du framework pour Publication du package de correctifs pour les problèmes de sécurité des cookies Laravel 5.5, il est recommandé à toutes les applications exécutant Publication du package de correctifs pour les problèmes de sécurité des cookies Laravel 5.5 et versions antérieures de ne pas utiliser le pilote de session « cookie » dans leurs déploiements de production.

Nous avons également publié Passport 9.3.2 pour assurer la compatibilité avec les versions actuelles. Si vous exécutez Passport sur Publication du package de correctifs pour les problèmes de sécurité des cookies Laravel 6.x ou 7.x, vous devez mettre à jour vers la version actuelle de Passport 9.3.2. La version Passport n'est pas une version sécurisée. Cependant, la bibliothèque doit être mise à jour pour être compatible avec les modifications actuelles du framework.

Concernant cette vulnérabilité, les applications qui utilisent le pilote de session « cookie » exposent également un oracle cryptographique via leur application et sont donc vulnérables à l'exécution de code à distance. Un oracle de chiffrement est un mécanisme qui chiffre les entrées de n'importe quel utilisateur, puis affiche la chaîne chiffrée à l'utilisateur. Cette combinaison de schémas permet aux utilisateurs de générer une chaîne cryptée signée Publication du package de correctifs pour les problèmes de sécurité des cookies Laravel valide pour n'importe quelle chaîne de texte brut afin que lorsque les applications utilisent le pilote « cookie », elles puissent générer des charges utiles de session Publication du package de correctifs pour les problèmes de sécurité des cookies Laravel.

Le correctif d'aujourd'hui préfixe la valeur du cookie avec le hachage HMAC du nom du cookie avant le cryptage, puis vérifie le hachage correspondant lors du déchiffrement, même si l'oracle de cryptage est exposé via l'application, il n'y a aucun moyen de créer un hachage valide. charge utile des cookies.

Je m'excuse personnellement pour la gêne occasionnée par la version de sécurité d'aujourd'hui, car la nature de ce correctif nous oblige à invalider les cookies de cryptage existants émis par les applications Publication du package de correctifs pour les problèmes de sécurité des cookies Laravel. Merci pour votre patience et votre compréhension.

Adresse originale : https://blog.laravel.com/laravel-cookie-security-releases

Adresse de traduction : https://learnku.com/laravel/t/ 47885

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!