[Laravel Security] 5.6.15 及 5.5.40 的安全修復

前言

在 12 小時前(2018/3/30 21:24:57 UTC+8)時,Laravel 釋出了一項安全更新,分別是 5.6.15 及 5.5.40。

此次安全更新詳細更變內容可以參見這個 commit

修復項目

在先前的框架中,並未檢查 AES 加密時的 iv 長度,造成在極罕見的情況(利用不同長度的 iv 繞過 MAC 檢查),有可能讓 decrypt() (底層為 openssl_decrypt())函式執行非預期行為,甚而操作 unserialize() 達成 RCE。

參考文章

  1. Laravel Security Release 5.6.15 and 5.5.40
本作品采用《CC 协议》,转载必须注明作者和本文链接
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!