scaoileadh córas bainistíochta inneachair gréasáin . Tá an scaoileadh suntasach mar gheall ar a bheith críochnaithe ar chur i bhfeidhm ag seiceáil nuashonruithe agus breisithe trí úsáid a bhaint as síniú digiteach.
Go dtí seo, agus nuashonruithe á shuiteáil i WordPress, ba é an príomhfhachtóir slándála ná muinín i mbonneagar agus freastalaithe WordPress (tar éis é a íoslódáil, rinneadh an hash a sheiceáil gan an fhoinse a fhíorú). Dá gcuirfí isteach ar fhreastalaithe an tionscadail, bhí na hionsaitheoirí in ann nuashonrú a dhéanamh agus cód mailíseach a scaipeadh i measc suíomhanna WordPress-bhunaithe a úsáideann córas suiteála nuashonraithe uathoibríoch. I gcomhréir leis an tsamhail seachadta iontaobhais a úsáideadh roimhe seo, ní bheadh aird na n-úsáideoirí ar ionadú den sórt sin.
Ag cur san áireamh an bhfíric go den tionscadal w3techs, úsáidtear an t-ardán WordPress ar 33.8% de na suíomhanna ar an líonra, bheadh an eachtra tar éis glacadh le scála tubaiste. Ag an am céanna, ní raibh an baol comhréitigh bonneagair hipitéiseach, ach fíor go leor. Mar shampla, roinnt blianta ó shin ar cheann de na taighdeoirí slándála leochaileacht a chuir ar chumas ionsaitheoir a chód a fhorghníomhú ar thaobh an fhreastalaí de api.wordpress.org.
I gcás sínithe digiteacha, ní bheidh comhréiteach ar chórais úsáideora mar thoradh ar smacht a fháil ar an bhfreastalaí dáileacháin nuashonraithe, mar chun ionsaí a dhéanamh, beidh ort freisin eochair phríobháideach atá stóráilte ar leithligh a fháil, lena sínítear nuashonruithe.
Cuireadh bac ar chur i bhfeidhm foinse na nuashonruithe a sheiceáil ag baint úsáide as síniú digiteach toisc go raibh tacaíocht do na halgartaim cripteagrafacha riachtanacha le feiceáil sa phacáiste caighdeánach PHP le déanaí. Bhí na halgartaim cripteagrafacha riachtanacha le feiceáil a bhuíochas le comhtháthú na leabharlainne don phríomhfhoireann . Ach mar an leagan íosta tacaithe de PHP i WordPress scaoileadh 5.2.4 (ó WordPress 5.2 - 5.6.20). Dá gcumasófaí tacaíocht do shínithe digiteacha, thiocfadh méadú suntasach ar na ceanglais don leagan íosta tacaithe de PHP nó spleáchas seachtrach a chur leis, rud nach bhféadfadh forbróirí a dhéanamh i bhfianaise leitheadúlacht na leaganacha PHP i gcórais óstála.
Bhí an réiteach agus leagan dlúth de Libsodium a chuimsiú i WordPress 5.2 - , ina gcuirtear tacar íosta halgartaim chun sínithe digiteacha a fhíorú i bhfeidhm i PHP. Fágann an cur i bhfeidhm go leor le bheith inmhianaithe i dtéarmaí feidhmíochta, ach réitíonn sé an fhadhb comhoiriúnachta go hiomlán, agus ligeann sé d'fhorbróirí breiseán freisin tosú ag cur halgartaim cripteagrafacha nua-aimseartha i bhfeidhm.
Úsáidtear algartam chun sínithe digiteacha a ghiniúint , a forbraíodh le rannpháirtíocht Daniel J. Bernstein. Gintear síniú digiteach don luach hash SHA384 arna ríomh ó ábhar na cartlainne nuashonraithe. Tá leibhéal slándála níos airde ag Ed25519 ná an ECDSA agus DSA, agus léiríonn sé luas fíor-ard maidir le fíorú agus cruthú sínithe. Tá an fhriotaíocht in aghaidh hacking le haghaidh Ed25519 thart ar 2^128 (ar an meán, beidh oibríochtaí 25519^ 2 giotán ag teastáil le haghaidh ionsaí ar Ed140), a fhreagraíonn do fhriotaíocht halgartaim mar NIST P-256 agus RSA le méid eochair de 3000 giotán nó Scipéir bloc 128-giotán. Níl Ed25519 so-ghabhálach freisin i leith fadhbanna le himbhuailtí hash, agus níl sé so-ghabhálach i leith ionsaithe ama taisce nó ionsaithe taobh-chainéil.
I scaoileadh WordPress 5.2, faoi láthair ní chlúdaíonn fíorú sínithe digiteach ach nuashonruithe móra ardáin agus ní chuireann sé bac ar an nuashonrú de réir réamhshocraithe, ach ní chuireann sé ach an t-úsáideoir ar an eolas faoin bhfadhb. Socraíodh gan an blocáil réamhshocraithe a chumasú láithreach toisc go raibh gá le seiceáil iomlán agus seachbhóthar . Sa todhchaí, tá sé beartaithe freisin fíorú sínithe digiteacha a chur leis chun foinse suiteála téamaí agus breiseán a fhíorú (beidh monaróirí in ann eisiúintí a shíniú lena n-eochair).
Chomh maith le tacaíocht do shínithe digiteacha i WordPress 5.2, is féidir na hathruithe seo a leanas a thabhairt faoi deara:
- Cuireadh dhá leathanach nua leis an rannán “Sláinte an tSuímh” chun fadhbanna cumraíochta coitianta a dhífhabhtú, agus tá foirm curtha ar fáil freisin trína bhféadfaidh forbróirí faisnéis dífhabhtaithe a fhágáil do riarthóirí láithreáin;
- Cur i bhfeidhm “scáileán bán an bháis” curtha leis, a thaispeánfar i gcás fadhbanna marfacha agus cuidiú leis an riarthóir fadhbanna a bhaineann le forlíontáin nó téamaí a shocrú go neamhspleách trí athrú go modh athshlánaithe tuairteála speisialta;
- Tá córas chun comhoiriúnacht le forlíontáin a sheiceáil curtha i bhfeidhm, a sheiceálann go huathoibríoch an bhféadfaí an breiseán a úsáid sa chumraíocht reatha, ag cur san áireamh an leagan de PHP a úsáidtear. Má éilíonn breiseán leagan níos nuaí de PHP chun oibriú, cuirfidh an córas bac ar chuimsiú an bhreiseáin seo go huathoibríoch;
- Tacaíocht bhreise chun modúil a chumasú le cód JavaScript ag baint úsáide as и ;
- Cuireadh teimpléad nua privacy-policy.php leis a ligeann duit ábhar an leathanaigh polasaí príobháideachta a shaincheapadh;
- Maidir le téamaí, tá láimhseálaí hook wp_body_open curtha leis, rud a ligeann duit cód a chur isteach díreach tar éis an chlib comhlacht;
- Ardaíodh na ceanglais maidir leis an leagan íosta de PHP go 5.6.20;tá an cumas ag forlíontáin agus téamaí anois spásanna ainm agus feidhmeanna gan ainm a úsáid;
- Cuireadh 13 dheilbhín nua leis.
Ina theannta sin, is féidir leat a lua leochaileacht chriticiúil i mbreiseán WordPress (CVE-2019-11185). Ceadaíonn an leochaileacht cód PHP treallach a fhorghníomhú ar an bhfreastalaí. Úsáidtear an breiseán ar níos mó ná 27 míle láithreán chun comhrá idirghníomhach a eagrú le cuairteoir, lena n-áirítear ar shuíomhanna cuideachtaí ar nós IKEA, Adobe, Huawei, PayPal, Tele2 agus McDonald's (is minic a úsáidtear Live Chat chun pop-up annoying a chur i bhfeidhm. comhráite ar shuíomhanna cuideachta le tairiscintí comhrá leis an bhfostaí).
Léirítear an fhadhb sa chód chun comhaid a uaslódáil chuig an bhfreastalaí agus ligeann sé duit seiceáil na gcineálacha comhaid bailí a sheachbhóthar agus script PHP a uaslódáil chuig an bhfreastalaí, agus ansin é a rith go díreach tríd an ngréasán. Suimiúil go leor, an bhliain seo caite aithníodh leochaileacht den chineál céanna cheana féin i Live Chat (CVE-2018-12426), a cheadaigh cód PHP a luchtú faoi chruth íomhá, ag sonrú cineál ábhair difriúil sa réimse Cineál Ábhar. Mar chuid den shocrú, cuireadh seiceálacha breise le haghaidh liostaí bána agus cineál ábhair MIME. Mar a tharla, cuirtear na seiceálacha seo i bhfeidhm go mícheart agus is féidir iad a sheachaint go héasca.
Go háirithe, tá cosc ar uaslódáil díreach comhad leis an síneadh “.php”, ach níor cuireadh an síneadh “.phtml”, a bhaineann leis an ateangaire PHP ar go leor freastalaithe, leis an liosta dubh. Ní cheadaíonn an liosta bán ach uaslódáil íomhá, ach is féidir leat é a sheachbhóthar trí shíneadh dúbailte a shonrú, mar shampla, “.gif.phtml”. Chun seiceáil cineál MIME a sheachbhóthar ag tús an chomhaid, roimh oscailt an chlib le cód PHP, ba leor an líne “GIF89a” a shonrú.
Foinse: oscailtenet.ru