這篇文章主要介紹Laravel重大安全更新的示例分析，文中介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們一定要看完！

創新互聯是一家集網站建設,安新企業網站建設,安新品牌網站建設,網站定制,安新網站建設報價,網絡營銷,網絡優化,安新網站推廣為一體的創新建站企業，幫助傳統企業提升企業形象加強企業競爭力。可充分滿足這一群體相比中小企業更為豐富、高端、多元的互聯網需求。同時我們時刻保持專業、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學習、思考、沉淀、凈化自己，讓我們為更多的企業打造出實用型網站。

Laravel團隊發布了Laravel 6 (v6.18.27) 和Laravel 7 (v7.22.0) ，以及即將發布的Laravel 5.5 LTS 計劃安全發布。您應盡快將應用程序更新到最新的修補程序版本，尤其是在使用“ cookie”會話驅動程序的情況下。

安全性提示：Laravel 6.18.27和7.22.0已發布，并帶有與安全相關的補丁程序。所有Laravel用戶都應盡快升級到這些版本。

Laravel 6是Laravel的當前LTS版本。但是，之前的LTS 5.5版本將在2020年8月底之前收到重要的安全更新。

Laravel 5.5。用戶應避免在生產環境中使用“ cookie”會話驅動程序：

由于我們尚未發布 Laravel 5.5 的安全版本，因此我們建議所有運行Laravel 5.5及更早版本的應用程序在其生產部署中不要使用“ cookie”會話驅動程序。

下面是 Laravel 官方團隊發布的原文：

今天我們發布了一些修復程序，以解決我們在周末收到通知的框架中的安全漏洞。

受此漏洞影響的主要是使用“ cookie”會話驅動程序的應用程序。由于我們尚未發布Laravel 5.5版本的框架的安全版本，因此建議所有運行Laravel 5.5及更早版本的應用程序在其生產部署中不要使用“ cookie”會話驅動程序。

我們還發布了Passport 9.3.2，以提供與當前版本的兼容性。如果您在Laravel 6.x或7.x上運行Passport，則應更新到今天的Passport 9.3.2版本。Passport 版本不是安全版本。但是，該庫需要更新才能與當今的框架更改內容兼容。


關于此漏洞，使用“ cookie”會話驅動程序的應用程序也通過其應用程序公開了一個加密 oracle，因此容易受到遠程代碼執行的攻擊。encryption oracle 是一種機制，比如對任意用戶的輸入進行加密，然后將加密后的字符串顯示給用戶。這種方案的組合使用戶可以為任何純文本字符串生成有效的 Laravel 簽名加密字符串，這樣，當應用程序使用“ cookie”驅動程序時，它們就可以生成Laravel會話有效負載。

如今的修復程序在加密之前使用cookie名稱的HMAC哈希為cookie值添加前綴，然后在解密時驗證匹配的哈希，即使通過應用程序公開了加密 oracle，也無法制作有效的cookie有效負載。

我個人為今天的安全發布所帶來的不便深表歉意，因為此修復程序的性質要求我們使Laravel應用程序發布的現有加密cookie無效。感謝您的耐心和理解。

以上是“Laravel重大安全更新的示例分析”這篇文章的所有內容，感謝各位的閱讀！希望分享的內容對大家有幫助，更多相關知識，歡迎關注創新互聯行業資訊頻道！

文章題目：Laravel重大安全更新的示例分析
分享路徑：http://m.newbst.com/article6/gcisog.html

成都網站建設公司_創新互聯，為您提供企業網站制作、網頁設計公司、網站設計、微信公眾號、網站導航、云服務器

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯