Laravel Cookie 安全问题补丁包发布

Laravel

今天我们发布了一些修复程序，以解决我们在周末收到通知的框架中的安全漏洞。

受此漏洞影响的主要是使用“ cookie”会话驱动程序的应用程序。 由于我们尚未发布Laravel 5.5版本的框架的安全版本，因此建议所有运行Laravel 5.5及更早版本的应用程序在其生产部署中不要使用“ cookie”会话驱动程序。

我们还发布了Passport 9.3.2，以提供与当前版本的兼容性。如果您在Laravel 6.x或7.x上运行Passport，则应更新到今天的Passport 9.3.2版本。 Passport 版本不是安全版本。但是，该库需要更新才能与当今的框架更改内容兼容。

关于此漏洞，使用“ cookie”会话驱动程序的应用程序也通过其应用程序公开了一个加密 oracle，因此容易受到远程代码执行的攻击。 encryption oracle 是一种机制，比如对任意用户的输入进行加密，然后将加密后的字符串显示给用户。这种方案的组合使用户可以为任何纯文本字符串生成有效的 Laravel 签名加密字符串，这样，当应用程序使用“ cookie”驱动程序时，它们就可以生成Laravel会话有效负载。

如今的修复程序在加密之前使用cookie名称的HMAC哈希为cookie值添加前缀，然后在解密时验证匹配的哈希，即使通过应用程序公开了加密 oracle，也无法制作有效的cookie有效负载。

我个人为今天的安全发布所带来的不便深表歉意，因为此修复程序的性质要求我们使Laravel应用程序发布的现有加密cookie无效。感谢您的耐心和理解。