Laravel Cookie安全問題補丁包發布了

#                            

推薦教學：《laravel》

#今天我們發布了一些修復程序，以解決我們在週末收到通知的框架中的安全漏洞。

受此漏洞影響的主要是使用「 cookie」會話驅動程式的應用程式。 由於我們尚未發布Laravel Cookie安全問題補丁包發布了 5.5版本的框架的安全版本，因此建議所有執行Laravel Cookie安全問題補丁包發布了 5.5及更早版本的應用程式在其生產部署中不要使用「 cookie」會話驅動程式。

我們也發布了Passport 9.3.2，以提供與目前版本的兼容性。如果您在Laravel Cookie安全問題補丁包發布了 6.x或7.x上執行Passport，則應更新至今天的Passport 9.3.2版本。 Passport 版本不是安全版本。但是，該庫需要更新才能與當今的框架變更內容相容。

關於此漏洞，使用「 cookie」會話驅動程式的應用程式也透過其應用程式公開了一個加密 oracle，因此容易受到遠端程式碼執行的攻擊。 encryption oracle 是一種機制，例如對任意使用者的輸入進行加密，然後將加密後的字串顯示給使用者。這種方案的組合使用戶可以為任何純文字字串產生有效的 Laravel Cookie安全問題補丁包發布了 簽章加密字串，這樣，當應用程式使用「 cookie」驅動程式時，它們就可以產生Laravel Cookie安全問題補丁包發布了會話有效負載。

如今的修復程序在加密之前使用cookie名稱的HMAC哈希為cookie值添加前綴，然後在解密時驗證匹配的哈希，即使透過應用程式公開了加密oracle，也無法製作有效的cookie有效負載。

我個人為今天的安全發布所帶來的不便深表歉意，因為此修復程序的性質要求我們使Laravel Cookie安全問題補丁包發布了應用程式發布的現有加密cookie無效。感謝您的耐心與體諒。

原文網址：https://blog.laravel.com/laravel-cookie-security-releases

翻譯網址：https://learnku.com/laravel/t/ 47885

以上是Laravel Cookie安全問題補丁包發布了的詳細內容。更多資訊請關注PHP中文網其他相關文章！