Laravel重大安全更新的示例分析

這篇文章主要介紹Laravel重大安全更新的示例分析，文中介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們一定要看完！

Laravel團隊發布了Laravel 6 (v6.18.27) 和Laravel 7 (v7.22.0) ，以及即將發布的Laravel 5.5 LTS 計劃安全發布。您應盡快將應用程序更新到最新的修補程序版本，尤其是在使用“ cookie”會話驅動程序的情況下。

安全性提示：Laravel 6.18.27和7.22.0已發布，并帶有與安全相關的補丁程序。所有Laravel用戶都應盡快升級到這些版本。

Laravel 6是Laravel的當前LTS版本。但是，之前的LTS 5.5版本將在2020年8月底之前收到重要的安全更新。

Laravel 5.5。用戶應避免在生產環境中使用“ cookie”會話驅動程序：

由于我們尚未發布 Laravel 5.5 的安全版本，因此我們建議所有運行Laravel 5.5及更早版本的應用程序在其生產部署中不要使用“ cookie”會話驅動程序。

下面是 Laravel 官方團隊發布的原文：

今天我們發布了一些修復程序，以解決我們在周末收到通知的框架中的安全漏洞。

受此漏洞影響的主要是使用“ cookie”會話驅動程序的應用程序。由于我們尚未發布Laravel 5.5版本的框架的安全版本，因此建議所有運行Laravel 5.5及更早版本的應用程序在其生產部署中不要使用“ cookie”會話驅動程序。

我們還發布了Passport 9.3.2，以提供與當前版本的兼容性。如果您在Laravel 6.x或7.x上運行Passport，則應更新到今天的Passport 9.3.2版本。Passport 版本不是安全版本。但是，該庫需要更新才能與當今的框架更改內容兼容。


關于此漏洞，使用“ cookie”會話驅動程序的應用程序也通過其應用程序公開了一個加密 oracle，因此容易受到遠程代碼執行的攻擊。encryption oracle 是一種機制，比如對任意用戶的輸入進行加密，然后將加密后的字符串顯示給用戶。這種方案的組合使用戶可以為任何純文本字符串生成有效的 Laravel 簽名加密字符串，這樣，當應用程序使用“ cookie”驅動程序時，它們就可以生成Laravel會話有效負載。

如今的修復程序在加密之前使用cookie名稱的HMAC哈希為cookie值添加前綴，然后在解密時驗證匹配的哈希，即使通過應用程序公開了加密 oracle，也無法制作有效的cookie有效負載。

我個人為今天的安全發布所帶來的不便深表歉意，因為此修復程序的性質要求我們使Laravel應用程序發布的現有加密cookie無效。感謝您的耐心和理解。

以上是“Laravel重大安全更新的示例分析”這篇文章的所有內容，感謝各位的閱讀！希望分享的內容對大家有幫助，更多相關知識，歡迎關注億速云行業資訊頻道！