Издаване на WordPress 5.2 с поддръжка за проверка на актуализации чрез цифров подпис

Изпратено от версия на системата за управление на уеб съдържание WordPress 5.2. Изданието е забележително със своето завършване шестгодишен епос на изпълнение възможности проверка на актуализации и допълнения с помощта на цифров подпис.

Досега при инсталиране на актуализации в WordPress основният фактор за сигурност беше доверието в инфраструктурата и сървърите на WordPress (след изтегляне хешът се проверяваше без проверка на източника). Ако сървърите на проекта са били компрометирани, нападателите са успели да измамят актуализация и да разпространят злонамерен код сред базирани на WordPress сайтове, които използват система за автоматично инсталиране на актуализации. В съответствие с използвания преди това модел на доверителна доставка, такава замяна би останала незабелязана от страна на потребителите.

Имайки предвид факта, че данни на проекта w3techs, платформата WordPress се използва на 33.8% от сайтовете в мрежата, инцидентът би придобил мащаба на бедствие. В същото време опасността от нарушаване на инфраструктурата не беше хипотетична, а съвсем реална. Например, преди няколко години един от изследователите по сигурността демонстрирано уязвимост, която позволява на атакуващ да изпълни кода си от страна на сървъра на api.wordpress.org.

В случай на цифрови подписи, получаването на контрол над сървъра за разпространение на актуализации няма да доведе до компрометиране на потребителските системи, тъй като за извършване на атака ще трябва допълнително да получите отделно съхраняван частен ключ, с който се подписват актуализациите.

Прилагането на проверка на източника на актуализации с помощта на цифров подпис беше възпрепятствано от факта, че поддръжката на необходимите криптографски алгоритми се появи в стандартния PHP пакет сравнително наскоро. Благодарение на интегрирането на библиотеката се появиха необходимите криптографски алгоритми либнатрий към основния отбор PHP 7.2. Но като минималната поддържана версия на PHP в WordPress заяви версия 5.2.4 (от WordPress 5.2 - 5.6.20). Разрешаването на поддръжка за цифрови подписи би довело до значително увеличаване на изискванията за минималната поддържана версия на PHP или добавяне на външна зависимост, което разработчиците не биха могли да направят предвид разпространението на PHP версиите в хостинг системите.

Решението беше развитие и включването на компактна версия на Libsodium в WordPress 5.2 - Натриев Compat, в който в PHP е реализиран минимален набор от алгоритми за проверка на цифровите подписи. Внедряването оставя много да се желае по отношение на производителността, но напълно решава проблема със съвместимостта и също така позволява на разработчиците на плъгини да започнат да прилагат модерни криптографски алгоритми.

За генериране на цифрови подписи се използва алгоритъм Ed25519, разработен с участието на Daniel J. Bernstein. Генерира се цифров подпис за хеш стойността SHA384, изчислена от съдържанието на архива за актуализация. Ed25519 има по-високо ниво на сигурност от ECDSA и DSA и демонстрира много висока скорост на проверка и създаване на подпис. Устойчивостта на хакване за Ed25519 е около 2^128 (средно атака срещу Ed25519 ще изисква 2^140 битови операции), което съответства на устойчивостта на алгоритми като NIST P-256 и RSA с размер на ключа от 3000 бита или 128-битов блоков шифър. Ed25519 също не е податлив на проблеми с хеш сблъсъци и не е податлив на атаки за кеширане или атаки от страничен канал.

В версията на WordPress 5.2 проверката на цифровия подпис в момента обхваща само основните актуализации на платформата и не блокира актуализацията по подразбиране, а само информира потребителя за проблема. Беше решено да не се активира блокирането по подразбиране веднага поради необходимостта от пълна проверка и байпас възможни проблеми. В бъдеще се планира също така да се добави проверка на цифров подпис, за да се провери източникът на инсталиране на теми и плъгини (производителите ще могат да подписват версии с техния ключ).

В допълнение към поддръжката на цифрови подписи в WordPress 5.2 могат да се отбележат следните промени:

• Две нови страници са добавени към раздела „Здраве на сайта“ за отстраняване на грешки при често срещани проблеми с конфигурацията, а също така е предоставен формуляр, чрез който разработчиците могат да оставят информация за отстраняване на грешки на администраторите на сайта;
• Добавено внедряване на „белия екран на смъртта“, показван в случай на фатални проблеми и помагащ на администратора да коригира независимо проблеми, свързани с плъгини или теми, като превключи към специален режим за възстановяване при срив;
• Внедрена е система за проверка на съвместимостта с плъгини, която автоматично проверява възможността за използване на плъгина в текущата конфигурация, като взема предвид използваната PHP версия. Ако даден плъгин изисква по-нова версия на PHP, за да работи, системата автоматично ще блокира включването на този плъгин;
• Добавена е поддръжка за активиране на модули с използване на JavaScript код уебпак и Бабел;
• Добавен е нов шаблон privacy-policy.php, който ви позволява да персонализирате съдържанието на страницата с правилата за поверителност;
• За теми е добавен манипулатор на кука wp_body_open, който ви позволява да вмъкнете код веднага след етикета body;
• Изискванията за минималната версия на PHP бяха повишени до 5.6.20; плъгините и темите вече имат способността да използват пространства от имена и анонимни функции;
• Добавени са 13 нови икони.

Освен това можете да споменете идентифициране критична уязвимост в приставката за WordPress WP чат на живо (CVE-2019-11185). Уязвимостта позволява произволен PHP код да бъде изпълнен на сървъра. Плъгинът се използва на повече от 27 хиляди сайта за организиране на интерактивен чат с посетител, включително на сайтове на компании като IKEA, Adobe, Huawei, PayPal, Tele2 и McDonald's (Чатът на живо често се използва за внедряване на досадни изскачащи прозорци чатове на фирмени сайтове с оферти чат със служителя).

Проблемът се проявява в кода за качване на файлове на сървъра и ви позволява да заобиколите проверката на валидни типове файлове и да качите PHP скрипт на сървъра, след което да го изпълните директно през мрежата. Интересното е, че миналата година подобна уязвимост вече беше идентифицирана в Live Chat (CVE-2018-12426), което позволи зареждането на PHP код под прикритието на изображение, посочвайки различен тип съдържание в полето Content-type. Като част от корекцията са добавени допълнителни проверки за бели списъци и MIME тип съдържание. Както се оказва, тези проверки се изпълняват неправилно и лесно могат да бъдат заобиколени.

По-специално, директното качване на файлове с разширение „.php“ е забранено, но разширението „.phtml“, което е свързано с PHP интерпретатора на много сървъри, не е добавено към черния списък. Белият списък позволява само качване на изображения, но можете да го заобиколите, като посочите двойно разширение, например „.gif.phtml“. За да заобиколите проверката на типа MIME в началото на файла, преди да отворите маркера с PHP код, беше достатъчно да посочите реда „GIF89a“.

Източник: opennet.ru