Taylor Otwell, người tạo ra Laravel vừa thông báo phát hành bản Laravel Cookie Security.
.jpg)
Bản phát hành bảo mật Cookie của Laravel
Thông báo cụ thể như sau:
"Hôm nay (27/07/2020) chúng tôi đã phát hành một số bản sửa lỗi để giải quyết lỗ hổng bảo mật trong Framework mà chúng tôi đã được thông báo vào cuối tuần.
Các ứng dụng sử dụng 'cookie' session driver là các ứng dụng chính bị ảnh hưởng bởi lỗ hổng này. Vì chúng tôi chưa phát hành bản phát hành bảo mật cho phiên 5.5 của Laravel Framework, chúng tôi khuyên tất cả các ứng dụng chạy Laravel 5.5 và trước đó không sử dụng 'cookie' session cookie.
Chúng tôi cũng đã phát hành Passport 9.3.2 để cung cấp khả năng tương thích với các bản phát hành ngày hôm nay. Nếu bạn đang chạy Passport trên Laravel 6.x hoặc 7.x, bạn nên cập nhật lên bản phát hành Passport 9.3.2 ngày hôm nay. Việc phát hành Passport không phải là một bản phát hành bảo mật. Tuy nhiên, thư viện cần cập nhật để tương thích với các thay đổi của Framework ngày nay.
Liên quan đến lỗ hổng bảo mật, các ứng dụng sử dụng 'cookie' session driver cũng đang để lộ ra một lỗ hổng Oracle có thể dễ bị thực thi mã từ xa. Lỗ hổng này là một cơ chế trong đó đầu vào của người dùng tùy ý được mã hóa và chuỗi được mã hóa sau đó được hiển thị hoặc hiển thị cho người dùng. Sự kết hợp các kịch bản này cho phép người dùng tạo các chuỗi mã hóa có chữ ký hợp lệ của Laravel cho bất kỳ chuỗi văn bản đơn giản nào, do đó cho phép họ tạo các Laravel session payload khi một ứng dụng đang sử dụng trình 'cookie' session driver.
Hôm nay, chúng tôi đã sửa tiền tố giá trị cookie bằng hàm băm HMAC của tên cookie trước khi mã hóa và sau đó xác minh hàm băm phù hợp khi giải mã, khiến cho không thể tạo ra session payload hợp lệ ngay cả khi một lỗ hổng Oracle được phơi bày qua ứng dụng.
Tôi muốn xin lỗi (từ phía cá nhân) vì sự bất tiện của các bản phát hành bảo mật ngày nay vì bản chất của bản sửa lỗi này yêu cầu chúng tôi vô hiệu hóa các cookie được mã hóa hiện có do các ứng dụng của Laravel phát hành. Cảm ơn bạn đã kiên nhẫn và hiểu cho điều đó."
Như vậy, lỗ hổng Oracle tồn tại trên các 'Cookie' Session Driver đã được Taylor Otwell xử lý bằng bản phát hành Laravel Cookie Security lần này.
> Nếu bạn đang quan tâm đến Laravel mà chưa thành thạo thì Học Laravel tại đây.
> https://blog.laravel.com/laravel-cookie-security-releases
---
HỌC VIỆN ĐÀO TẠO CNTT NIIT - ICT HÀ NỘI
Học Lập trình chất lượng cao (Since 2002). Học làm Lập trình viên. Hành động ngay!
Đc: Tầng 3, 25T2, N05, Nguyễn Thị Thập, Cầu Giấy, Hà Nội
SĐT: 02435574074 - 0914939543 - 0353655150
Email: hello@niithanoi.edu.vn
Fanpage: https://facebook.com/NIIT.ICT/
#niit #niithanoi #niiticthanoi #hoclaptrinh #khoahoclaptrinh #hoclaptrinhjava #hoclaptrinhphp #java #php #python