189 8069 5689

Laravel重大安全更新的示例分析

这篇文章主要介绍Laravel重大安全更新的示例分析,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!

创新互联是一家集网站建设,安新企业网站建设,安新品牌网站建设,网站定制,安新网站建设报价,网络营销,网络优化,安新网站推广为一体的创新建站企业,帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿,时刻以成就客户成长自我,坚持不断学习、思考、沉淀、净化自己,让我们为更多的企业打造出实用型网站。

Laravel团队发布了Laravel 6 (v6.18.27) 和Laravel 7 (v7.22.0) ,以及即将发布的Laravel 5.5 LTS 计划安全发布。您应尽快将应用程序更新到最新的修补程序版本,尤其是在使用“ cookie”会话驱动程序的情况下。

安全性提示:Laravel 6.18.27和7.22.0已发布,并带有与安全相关的补丁程序。所有Laravel用户都应尽快升级到这些版本。

Laravel 6是Laravel的当前LTS版本。但是,之前的LTS 5.5版本将在2020年8月底之前收到重要的安全更新。

Laravel 5.5。用户应避免在生产环境中使用“ cookie”会话驱动程序:

由于我们尚未发布 Laravel 5.5 的安全版本,因此我们建议所有运行Laravel 5.5及更早版本的应用程序在其生产部署中不要使用“ cookie”会话驱动程序。

下面是 Laravel 官方团队发布的原文:

今天我们发布了一些修复程序,以解决我们在周末收到通知的框架中的安全漏洞。

受此漏洞影响的主要是使用“ cookie”会话驱动程序的应用程序。由于我们尚未发布Laravel 5.5版本的框架的安全版本,因此建议所有运行Laravel 5.5及更早版本的应用程序在其生产部署中不要使用“ cookie”会话驱动程序。

我们还发布了Passport 9.3.2,以提供与当前版本的兼容性。如果您在Laravel 6.x或7.x上运行Passport,则应更新到今天的Passport 9.3.2版本。Passport 版本不是安全版本。但是,该库需要更新才能与当今的框架更改内容兼容。


关于此漏洞,使用“ cookie”会话驱动程序的应用程序也通过其应用程序公开了一个加密 oracle,因此容易受到远程代码执行的攻击。encryption oracle 是一种机制,比如对任意用户的输入进行加密,然后将加密后的字符串显示给用户。这种方案的组合使用户可以为任何纯文本字符串生成有效的 Laravel 签名加密字符串,这样,当应用程序使用“ cookie”驱动程序时,它们就可以生成Laravel会话有效负载。

如今的修复程序在加密之前使用cookie名称的HMAC哈希为cookie值添加前缀,然后在解密时验证匹配的哈希,即使通过应用程序公开了加密 oracle,也无法制作有效的cookie有效负载。

我个人为今天的安全发布所带来的不便深表歉意,因为此修复程序的性质要求我们使Laravel应用程序发布的现有加密cookie无效。感谢您的耐心和理解。

以上是“Laravel重大安全更新的示例分析”这篇文章的所有内容,感谢各位的阅读!希望分享的内容对大家有帮助,更多相关知识,欢迎关注创新互联行业资讯频道!


文章题目:Laravel重大安全更新的示例分析
网页URL:http://cdxtjz.cn/article/gcisog.html

其他资讯