Laravel Cookie安全問題補丁包發布了

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

推薦教程：《laravel》

今天我們發布了一些修復程序，以解決我們在周末收到通知的框架中的安全漏洞。

受此漏洞影響的主要是使用“ Cookie”會話驅動程序的應用程序。 由于我們尚未發布Laravel 5.5版本的框架的安全版本，因此建議所有運行Laravel 5.5及更早版本的應用程序在其生產部署中不要使用“ cookie”會話驅動程序。

我們還發布了Passport 9.3.2，以提供與當前版本的兼容性。 如果您在Laravel 6.x或7.x上運行Passport，則應更新到今天的Passport 9.3.2版本。 Passport 版本不是安全版本。 但是，該庫需要更新才能與當今的框架更改內容兼容。

關于此漏洞，使用“ cookie”會話驅動程序的應用程序也通過其應用程序公開了一個加密 oracle，因此容易受到遠程代碼執行的攻擊。 encryption oracle 是一種機制，比如對任意用戶的輸入進行加密，然后將加密后的字符串顯示給用戶。 這種方案的組合使用戶可以為任何純文本字符串生成有效的 Laravel 簽名加密字符串，這樣，當應用程序使用“ cookie”驅動程序時，它們就可以生成Laravel會話有效負載。

如今的修復程序在加密之前使用cookie名稱的HMAC哈希為cookie值添加前綴，然后在解密時驗證匹配的哈希，即使通過應用程序公開了加密 oracle，也無法制作有效的cookie有效負載。

我個人為今天的安全發布所帶來的不便深表歉意，因為此修復程序的性質要求我們使Laravel應用程序發布的現有加密cookie無效。 感謝您的耐心和理解。

原文地址：https://blog.laravel.com/laravel-cookie-security-releases

譯文地址：https://learnku.com/laravel/t/47885