>  기사  >  PHP 프레임워크  >  Laravel 쿠키 보안 문제 패치 패키지 출시

Laravel 쿠키 보안 문제 패치 패키지 출시

藏色散人
藏色散人앞으로
2020-08-05 13:29:453002검색

오늘 우리는 주말에 통보받은 프레임워크의 보안 취약점을 해결하기 위한 몇 가지 수정 사항을 출시했습니다.

이 취약점의 주로 영향을 받는 것은 "쿠키" 세션 드라이버를 사용하는 응용 프로그램입니다. Laravel 쿠키 보안 문제 패치 패키지 출시 아직 Laravel 쿠키 보안 문제 패치 패키지 출시 5.5용 프레임워크의 보안 버전을 출시하지 않았으므로 Laravel 쿠키 보안 문제 패치 패키지 출시 5.5 및 이전 버전을 실행하는 모든 애플리케이션은 프로덕션 배포에서 "쿠키" 세션 드라이버를 사용하지 않는 것이 좋습니다.

현재 버전과의 호환성을 제공하기 위해 Passport 9.3.2도 출시했습니다. Laravel 쿠키 보안 문제 패치 패키지 출시 6.x 또는 7.x에서 Passport를 실행 중인 경우 최신 Passport 9.3.2 버전으로 업데이트해야 합니다. Passport 버전은 보안 버전이 아닙니다. 그러나 오늘날의 프레임워크 변경 사항과 호환되도록 라이브러리를 업데이트해야 합니다.

이 취약점과 관련하여 "쿠키" 세션 드라이버를 사용하는 애플리케이션은 해당 애플리케이션을 통해 암호화 오라클도 노출하므로 원격 코드 실행에 취약합니다. 암호화 오라클은 모든 사용자의 입력을 암호화한 다음 암호화된 문자열을 사용자에게 표시하는 메커니즘입니다. 이러한 체계 조합을 통해 사용자는 일반 텍스트 문자열에 대해 유효한 Laravel 쿠키 보안 문제 패치 패키지 출시 서명 암호화 문자열을 생성할 수 있으므로 응용 프로그램이 "쿠키" 드라이버를 사용할 때 Laravel 쿠키 보안 문제 패치 패키지 출시 세션 페이로드를 생성할 수 있습니다.

오늘의 수정 사항은 암호화하기 전에 쿠키 이름의 HMAC 해시를 쿠키 값 앞에 붙인 다음 복호화 시 일치하는 해시를 확인하므로 암호화 오라클이 애플리케이션을 통해 노출되더라도 유효한 쿠키 페이로드를 만들 수 없게 됩니다.

오늘의 보안 릴리스로 인해 불편을 끼쳐드린 점 개인적으로 사과드립니다. 이 수정 사항의 특성상 Laravel 쿠키 보안 문제 패치 패키지 출시 애플리케이션에서 발행한 기존 암호화 쿠키를 무효화해야 하기 때문입니다. 귀하의 인내와 이해에 감사드립니다.

원본 주소: https://blog.laravel.com/laravel-cookie-security-releases

번역 주소: https://learnku.com/laravel/t/47885

위 내용은 Laravel 쿠키 보안 문제 패치 패키지 출시의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
이 기사는 learnku.com에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제