[Laravel Security] 5.6.15 及 5.5.40 的安全修復

前言

在 12 小時前(2018/3/30 21:24:57 UTC+8)時,Laravel 釋出了一項安全更新,分別是 5.6.15 及 5.5.40。

此次安全更新詳細更變內容可以參見這個 commit

修復項目

在先前的框架中,並未檢查 AES 加密時的 iv 長度,造成在極罕見的情況(利用不同長度的 iv 繞過 MAC 檢查),有可能讓 decrypt() (底層為 openssl_decrypt())函式執行非預期行為,甚而操作 unserialize() 達成 RCE。

參考文章

  1. Laravel Security Release 5.6.15 and 5.5.40
本作品采用《CC 协议》,转载必须注明作者和本文链接
《L03 构架 API 服务器》
你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程,JWT 概念及使用 和 API 开发相关的进阶知识。
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!