Laravel重大安全更新的示例分析

這篇文章主要介紹Laravel重大安全更新的示例分析，文中介紹的非常詳細(xì)，具有一定的參考價值，感興趣的小伙伴們一定要看完！

Laravel團隊發(fā)布了Laravel 6 (v6.18.27) 和Laravel 7 (v7.22.0) ，以及即將發(fā)布的Laravel 5.5 LTS 計劃安全發(fā)布。您應(yīng)盡快將應(yīng)用程序更新到最新的修補程序版本，尤其是在使用“ cookie”會話驅(qū)動程序的情況下。

安全性提示：Laravel 6.18.27和7.22.0已發(fā)布，并帶有與安全相關(guān)的補丁程序。所有Laravel用戶都應(yīng)盡快升級到這些版本。

Laravel 6是Laravel的當(dāng)前LTS版本。但是，之前的LTS 5.5版本將在2020年8月底之前收到重要的安全更新。

Laravel 5.5。用戶應(yīng)避免在生產(chǎn)環(huán)境中使用“ cookie”會話驅(qū)動程序：

由于我們尚未發(fā)布 Laravel 5.5 的安全版本，因此我們建議所有運行Laravel 5.5及更早版本的應(yīng)用程序在其生產(chǎn)部署中不要使用“ cookie”會話驅(qū)動程序。

下面是 Laravel 官方團隊發(fā)布的原文：

今天我們發(fā)布了一些修復(fù)程序，以解決我們在周末收到通知的框架中的安全漏洞。

受此漏洞影響的主要是使用“ cookie”會話驅(qū)動程序的應(yīng)用程序。由于我們尚未發(fā)布Laravel 5.5版本的框架的安全版本，因此建議所有運行Laravel 5.5及更早版本的應(yīng)用程序在其生產(chǎn)部署中不要使用“ cookie”會話驅(qū)動程序。

我們還發(fā)布了Passport 9.3.2，以提供與當(dāng)前版本的兼容性。如果您在Laravel 6.x或7.x上運行Passport，則應(yīng)更新到今天的Passport 9.3.2版本。Passport 版本不是安全版本。但是，該庫需要更新才能與當(dāng)今的框架更改內(nèi)容兼容。


關(guān)于此漏洞，使用“ cookie”會話驅(qū)動程序的應(yīng)用程序也通過其應(yīng)用程序公開了一個加密 oracle，因此容易受到遠(yuǎn)程代碼執(zhí)行的攻擊。encryption oracle 是一種機制，比如對任意用戶的輸入進行加密，然后將加密后的字符串顯示給用戶。這種方案的組合使用戶可以為任何純文本字符串生成有效的 Laravel 簽名加密字符串，這樣，當(dāng)應(yīng)用程序使用“ cookie”驅(qū)動程序時，它們就可以生成Laravel會話有效負(fù)載。

如今的修復(fù)程序在加密之前使用cookie名稱的HMAC哈希為cookie值添加前綴，然后在解密時驗證匹配的哈希，即使通過應(yīng)用程序公開了加密 oracle，也無法制作有效的cookie有效負(fù)載。

我個人為今天的安全發(fā)布所帶來的不便深表歉意，因為此修復(fù)程序的性質(zhì)要求我們使Laravel應(yīng)用程序發(fā)布的現(xiàn)有加密cookie無效。感謝您的耐心和理解。

以上是“Laravel重大安全更新的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！希望分享的內(nèi)容對大家有幫助，更多相關(guān)知識，歡迎關(guān)注億速云行業(yè)資訊頻道！