Laravel Cookie安全問題補丁包發(fā)布了

發(fā)布時間：2024-03-05

推薦教程：《laravel》
今天我們發(fā)布了一些修復程序，以解決我們在周末收到通知的框架中的安全漏洞。
受此漏洞影響的主要是使用“ cookie”會話驅動程序的應用程序。 由于我們尚未發(fā)布laravel 5.5版本的框架的安全版本，因此建議所有運行l(wèi)aravel 5.5及更早版本的應用程序在其生產部署中不要使用“ cookie”會話驅動程序。
我們還發(fā)布了passport 9.3.2，以提供與當前版本的兼容性。 如果您在laravel 6.x或7.x上運行passport，則應更新到今天的passport 9.3.2版本。 passport 版本不是安全版本。 但是，該庫需要更新才能與當今的框架更改內容兼容。
關于此漏洞，使用“ cookie”會話驅動程序的應用程序也通過其應用程序公開了一個加密 oracle，因此容易受到遠程代碼執(zhí)行的攻擊。 encryption oracle 是一種機制，比如對任意用戶的輸入進行加密，然后將加密后的字符串顯示給用戶。 這種方案的組合使用戶可以為任何純文本字符串生成有效的 laravel 簽名加密字符串，這樣，當應用程序使用“ cookie”驅動程序時，它們就可以生成laravel會話有效負載。
如今的修復程序在加密之前使用cookie名稱的hmac哈希為cookie值添加前綴，然后在解密時驗證匹配的哈希，即使通過應用程序公開了加密 oracle，也無法制作有效的cookie有效負載。
我個人為今天的安全發(fā)布所帶來的不便深表歉意，因為此修復程序的性質要求我們使laravel應用程序發(fā)布的現(xiàn)有加密cookie無效。 感謝您的耐心和理解。
原文地址：https://blog.laravel.com/laravel-cookie-security-releases
譯文地址：https://learnku.com/laravel/t/47885