Laravel 5.4.22 Resmi Dirilis Dengan Security Fix

Laravel 5.4.22 resmi dirilis dan sudah bisa kamu download. Rilis terbaru Laravel ini memperbaiki celah keamanan yang terkait dengan sistem reset password dan siapa saja yang menggunakan Laravel harus segera mengupdatenya.

Laravel 5.4.22 menambal celah keamanan pada rilis Laravel 5.4, dimana celah tersebut memungkinkan upaya phising pada pengguna dari aplikasi. Dengan menggunakan sistem reset password, pengguna jahat dapat mencoba mengelabui pengguna agar memasukan info login yang kredensial kedalam aplikasi terpisah yang mereka kontrol.

Karena pemberitahuan reset password menggunakan host dari incoming request untuk membuat URL reset password, host URL reset password dapat dipalsukan. Jika pengguna tidak menyadari bahwa mereka tidak berada dalam domain aplikasi yang mereka maksudkan, mereka mungkin secara tidak sengaja memasukan info login ke aplikasi yang berbahaya.

Release note juga menyebutkan beberapa perbaikan termasuk untuk mereka yang masih menjalankan Laravel 5.1 dan kamu harus pastikan pada link untuk reset password harus berisi URL penuh dari website kamu, seperti contohnya:

{{ url('//example.com/password/reset/'.$token) }}

Laravel 5.4.22 Changelog:

Penambahan

  • Support dynamic number of keys in MessageBag::hasAny() (#19002)
  • Added Seeder::callSilent() method (#19007)
  • Add make() method to Eloquent query builder (#19015)
  • Support Arrayable on Eloquent’s find() method (#19019)
  • Added SendsPasswordResetEmails::validateEmail() method (#19042)
  • Allow factory attributes to be factory instances themselves (#19055)
  • Implemented until() method on EventFake (#19062)
  • Added $encoding parameter to Str::length() (#19047, #19079).

Perubahan

  • Throw exception when invalid first argument is passed to cache() helper (d9459b2)
  • Use getAuthIdentifierName() in Authenticatable::getAuthIdentifier() (#19038)
  • Clone queries without order by for aggregates (#19064)
  • Force host on password reset notification (cef1055).

Perbaikan

  • Set data key when testing file uploads in nested array (#18954)
  • Fixed a bug related to sub select queries and extra select statements (#19013)
  • Resolve aliases from container when using parameters (#19071)
  • Stop worker if database disconnect occurred (#19080, 583b1b8)
  • Fixed internal call to assertJson() in assertJsonStructure() (#19090).

 

Jakartawebhosting.com menyediakan layanan Web Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan dengan yang menarik.

You may also like...