Laravel重大安全更新的示例分析
发表于:2024-10-25 作者:千家信息网编辑
千家信息网最后更新 2024年10月25日,这篇文章主要介绍Laravel重大安全更新的示例分析,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!Laravel团队发布了Laravel 6 (v6.18.27) 和Larav
千家信息网最后更新 2024年10月25日Laravel重大安全更新的示例分析
这篇文章主要介绍Laravel重大安全更新的示例分析,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!
Laravel团队发布了Laravel 6 (v6.18.27) 和Laravel 7 (v7.22.0) ,以及即将发布的Laravel 5.5 LTS 计划安全发布。您应尽快将应用程序更新到最新的修补程序版本,尤其是在使用" cookie"会话驱动程序的情况下。
安全性提示:Laravel 6.18.27和7.22.0已发布,并带有与安全相关的补丁程序。所有Laravel用户都应尽快升级到这些版本。
Laravel 6是Laravel的当前LTS版本。但是,之前的LTS 5.5版本将在2020年8月底之前收到重要的安全更新。
Laravel 5.5。用户应避免在生产环境中使用" cookie"会话驱动程序:
由于我们尚未发布 Laravel 5.5 的安全版本,因此我们建议所有运行Laravel 5.5及更早版本的应用程序在其生产部署中不要使用" cookie"会话驱动程序。
下面是 Laravel 官方团队发布的原文:
今天我们发布了一些修复程序,以解决我们在周末收到通知的框架中的安全漏洞。
受此漏洞影响的主要是使用" cookie"会话驱动程序的应用程序。由于我们尚未发布Laravel 5.5版本的框架的安全版本,因此建议所有运行Laravel 5.5及更早版本的应用程序在其生产部署中不要使用" cookie"会话驱动程序。
我们还发布了Passport 9.3.2,以提供与当前版本的兼容性。如果您在Laravel 6.x或7.x上运行Passport,则应更新到今天的Passport 9.3.2版本。Passport 版本不是安全版本。但是,该库需要更新才能与当今的框架更改内容兼容。
关于此漏洞,使用" cookie"会话驱动程序的应用程序也通过其应用程序公开了一个加密 oracle,因此容易受到远程代码执行的攻击。encryption oracle 是一种机制,比如对任意用户的输入进行加密,然后将加密后的字符串显示给用户。这种方案的组合使用户可以为任何纯文本字符串生成有效的 Laravel 签名加密字符串,这样,当应用程序使用" cookie"驱动程序时,它们就可以生成Laravel会话有效负载。
如今的修复程序在加密之前使用cookie名称的HMAC哈希为cookie值添加前缀,然后在解密时验证匹配的哈希,即使通过应用程序公开了加密 oracle,也无法制作有效的cookie有效负载。
我个人为今天的安全发布所带来的不便深表歉意,因为此修复程序的性质要求我们使Laravel应用程序发布的现有加密cookie无效。感谢您的耐心和理解。
以上是"Laravel重大安全更新的示例分析"这篇文章的所有内容,感谢各位的阅读!希望分享的内容对大家有帮助,更多相关知识,欢迎关注行业资讯频道!
程序
版本
安全
应用程序
应用
驱动程序
加密
驱动
更新
用户
有效
内容
字符
字符串
框架
漏洞
生产
运行
重大
示例
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
长春新格网络技术
软件开发实习刚转正工资
网络技术和网络应用
问卷调查数据库怎么做
软件开发怎么赔钱
java数据库having
济南系统集成服务器
简答网络技术方法的优缺点
首批一流网络安全学院
网络安全手抄报绘画不用写字的
数据库技术和信息安全技术
5g产业主要服务器
网页实时显示数据库数据
服务器改安全端口
自建web服务器安全吗
应用软件开发质量管理交流会
深易客哪里的服务器
日月关服务器
东莞市新航线网络技术
怎么建立焊口数据库
王者荣耀 服务器查询
数据库技术指标
中国交通银行软件开发
护苗网络安全观后感500
5g产业主要服务器
互联网科技如何强国
广东服务器硬盘质保期
网络安全技术形考作业4
穿越火线外国服务器刀战模式
阿里云数据库技巧