Laravel团队发布了Laravel 6 (v6.18.27) 和Laravel 7 (v7.22.0) ,以及即将发布的Laravel 5.5 LTS 计划安全发布。您应尽快将应用程序更新到最新的修补程序版本,尤为是在使用“ cookie”会话驱动程序的状况下。php
安全性提示:Laravel 6.18.27和7.22.0已发布,并带有与安全相关的补丁程序。全部Laravel用户都应尽快升级到这些版本。安全
Laravel 6是Laravel的当前LTS版本。可是,以前的LTS 5.5版本将在2020年8月底以前收到重要的安全更新。微信
Laravel 5.5。用户应避免在生产环境中使用“ cookie”会话驱动程序:cookie
因为咱们还没有发布 Laravel 5.5 的安全版本,所以咱们建议全部运行Laravel 5.5及更早版本的应用程序在其生产部署中不要使用“ cookie”会话驱动程序。oracle
下面是 Laravel 官方团队发布的原文:框架
今天咱们发布了一些修复程序,以解决咱们在周末收到通知的框架中的安全漏洞。
受此漏洞影响的主要是使用“ cookie”会话驱动程序的应用程序。因为咱们还没有发布Laravel 5.5版本的框架的安全版本,所以建议全部运行Laravel 5.5及更早版本的应用程序在其生产部署中不要使用“ cookie”会话驱动程序。
咱们还发布了Passport 9.3.2,以提供与当前版本的兼容性。若是您在Laravel 6.x或7.x上运行Passport,则应更新到今天的Passport 9.3.2版本。Passport 版本不是安全版本。可是,该库须要更新才能与当今的框架更改内容兼容。
关于此漏洞,使用“ cookie”会话驱动程序的应用程序也经过其应用程序公开了一个加密 oracle,所以容易受到远程代码执行的攻击。encryption oracle 是一种机制,好比对任意用户的输入进行加密,而后将加密后的字符串显示给用户。这种方案的组合使用户能够为任何纯文本字符串生成有效的 Laravel 签名加密字符串,这样,当应用程序使用“ cookie”驱动程序时,它们就能够生成Laravel会话有效负载。
现在的修复程序在加密以前使用cookie名称的HMAC哈希为cookie值添加前缀,而后在解密时验证匹配的哈希,即便经过应用程序公开了加密 oracle,也没法制做有效的cookie有效负载。
我我的为今天的安全发布所带来的不便深表歉意,由于此修复程序的性质要求咱们使Laravel应用程序发布的现有加密cookie无效。感谢您的耐心和理解。
本文分享自微信公众号 - PHP开源Hub(php_open)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。加密