Laravel Cookie-Patchpaket für Sicherheitsprobleme veröffentlicht

Empfohlenes Tutorial: 《laravel》

Heute haben wir einige Korrekturen veröffentlicht, um eine Sicherheitslücke im Framework zu schließen, über die wir am Wochenende informiert wurden.

Von dieser Sicherheitslücke sind vor allem Anwendungen betroffen, die den „Cookie“-Sitzungstreiber verwenden. Da wir noch keine sichere Version des Frameworks für Laravel Cookie-Patchpaket für Sicherheitsprobleme veröffentlicht 5.5 veröffentlicht haben, wird empfohlen, dass alle Anwendungen, auf denen Laravel Cookie-Patchpaket für Sicherheitsprobleme veröffentlicht 5.5 und frühere Versionen ausgeführt werden, den „Cookie“-Sitzungstreiber in ihren Produktionsbereitstellungen nicht verwenden.

Wir haben außerdem Passport 9.3.2 veröffentlicht, um die Kompatibilität mit aktuellen Versionen sicherzustellen. Wenn Sie Passport auf Laravel Cookie-Patchpaket für Sicherheitsprobleme veröffentlicht 6.x oder 7.x ausführen, sollten Sie auf die heutige Passport 9.3.2-Version aktualisieren. Die Passport-Version ist keine sichere Version. Allerdings muss die Bibliothek aktualisiert werden, um mit den heutigen Framework-Änderungen kompatibel zu sein.

Was diese Schwachstelle betrifft, so stellen Anwendungen, die den „Cookie“-Sitzungstreiber verwenden, über ihre Anwendung auch ein kryptografisches Orakel offen und sind daher anfällig für die Remotecodeausführung. Ein Verschlüsselungsorakel ist ein Mechanismus, der Eingaben von jedem Benutzer verschlüsselt und dann dem Benutzer die verschlüsselte Zeichenfolge anzeigt. Diese Kombination von Schemata ermöglicht es Benutzern, für jede Klartextzeichenfolge eine gültige, von Laravel Cookie-Patchpaket für Sicherheitsprobleme veröffentlicht signierte, verschlüsselte Zeichenfolge zu generieren, sodass Anwendungen, die den „Cookie“-Treiber verwenden, Laravel Cookie-Patchpaket für Sicherheitsprobleme veröffentlicht-Sitzungsnutzlasten generieren können.

Der heutige Fix stellt dem Cookie-Wert vor der Verschlüsselung den HMAC-Hash des Cookie-Namens voran und überprüft dann den passenden Hash beim Entschlüsseln, wodurch es unmöglich wird, eine gültige Cookie-Nutzlast zu erstellen, selbst wenn das Verschlüsselungsorakel über die Anwendung offengelegt wird.

Ich persönlich entschuldige mich für die Unannehmlichkeiten, die durch die heutige Sicherheitsveröffentlichung verursacht wurden, da die Art dieses Fixes es erfordert, dass wir vorhandene Verschlüsselungscookies, die von Laravel Cookie-Patchpaket für Sicherheitsprobleme veröffentlicht-Anwendungen ausgegeben werden, ungültig machen. Vielen Dank für Ihre Geduld und Ihr Verständnis.

Originaladresse: https://blog.laravel.com/laravel-cookie-security-releases

Übersetzungsadresse: https://learnku.com/laravel/t/47885

Das obige ist der detaillierte Inhalt vonLaravel Cookie-Patchpaket für Sicherheitsprobleme veröffentlicht. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!