[Laravel Security] 5.6.15 及 5.5.40 的安全修復

前言

在 12 小時前(2018/3/30 21:24:57 UTC+8)時,Laravel 釋出了一項安全更新,分別是 5.6.15 及 5.5.40。

此次安全更新詳細更變內容可以參見這個 commit

修復項目

在先前的框架中,並未檢查 AES 加密時的 iv 長度,造成在極罕見的情況(利用不同長度的 iv 繞過 MAC 檢查),有可能讓 decrypt() (底層為 openssl_decrypt())函式執行非預期行為,甚而操作 unserialize() 達成 RCE。

參考文章

  1. Laravel Security Release 5.6.15 and 5.5.40
本作品采用《CC 协议》,转载必须注明作者和本文链接
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!