Laravel重大安全更新的示例分析

Laravel重大安全更新的示例分析

这篇文章主要介绍Laravel重大安全更新的示例分析，文中介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们一定要看完！

Laravel团队发布了Laravel 6 (v6.18.27) 和Laravel 7 (v7.22.0) ，以及即将发布的Laravel 5.5 LTS 计划安全发布。您应尽快将应用程序更新到最新的修补程序版本，尤其是在使用“ cookie”会话驱动程序的情况下。

安全性提示：Laravel 6.18.27和7.22.0已发布，并带有与安全相关的补丁程序。所有Laravel用户都应尽快升级到这些版本。

Laravel 6是Laravel的当前LTS版本。但是，之前的LTS 5.5版本将在2020年8月底之前收到重要的安全更新。

Laravel 5.5。用户应避免在生产环境中使用“ cookie”会话驱动程序：

由于我们尚未发布 Laravel 5.5 的安全版本，因此我们建议所有运行Laravel 5.5及更早版本的应用程序在其生产部署中不要使用“ cookie”会话驱动程序。

下面是 Laravel 官方团队发布的原文：

今天我们发布了一些修复程序，以解决我们在周末收到通知的框架中的安全漏洞。

受此漏洞影响的主要是使用“ cookie”会话驱动程序的应用程序。由于我们尚未发布Laravel 5.5版本的框架的安全版本，因此建议所有运行Laravel 5.5及更早版本的应用程序在其生产部署中不要使用“ cookie”会话驱动程序。

我们还发布了Passport 9.3.2，以提供与当前版本的兼容性。如果您在Laravel 6.x或7.x上运行Passport，则应更新到今天的Passport 9.3.2版本。Passport 版本不是安全版本。但是，该库需要更新才能与当今的框架更改内容兼容。


关于此漏洞，使用“ cookie”会话驱动程序的应用程序也通过其应用程序公开了一个加密 oracle，因此容易受到远程代码执行的攻击。encryption oracle 是一种机制，比如对任意用户的输入进行加密，然后将加密后的字符串显示给用户。这种方案的组合使用户可以为任何纯文本字符串生成有效的 Laravel 签名加密字符串，这样，当应用程序使用“ cookie”驱动程序时，它们就可以生成Laravel会话有效负载。

如今的修复程序在加密之前使用cookie名称的HMAC哈希为cookie值添加前缀，然后在解密时验证匹配的哈希，即使通过应用程序公开了加密 oracle，也无法制作有效的cookie有效负载。

我个人为今天的安全发布所带来的不便深表歉意，因为此修复程序的性质要求我们使Laravel应用程序发布的现有加密cookie无效。感谢您的耐心和理解。

以上是“Laravel重大安全更新的示例分析”这篇文章的所有内容，感谢各位的阅读！希望分享的内容对大家有帮助，更多相关知识，欢迎关注恰卡编程网行业资讯频道！