hoʻokuʻu ʻana i ka ʻōnaehana hoʻokele waiwai pūnaewele . Ua kaulana ka hoʻokuʻu ʻana no kona hoʻopau ʻana ma ka hoʻokō ke nānā ʻana i nā mea hou a me nā mea hoʻohui me ka hoʻohana ʻana i kahi pūlima kikohoʻe.
A hiki i kēia manawa, i ka wā e hoʻokomo ai i nā mea hou i WordPress, ʻo ke kumu palekana nui ka hilinaʻi i ka ʻōnaehana WordPress a me nā kikowaena (ma hope o ka hoʻoiho ʻana, ua nānā ʻia ka hash me ka ʻole o ka hōʻoia ʻana i ke kumu). Inā hoʻololi ʻia nā kikowaena o ka papahana, hiki i ka poʻe hoʻouka ke hoʻopunipuni i kahi mea hou a puʻunaue i nā code malicious ma waena o nā pūnaewele WordPress e hoʻohana ana i kahi ʻōnaehana hoʻonohonoho hoʻonohonoho. Ma muli o ke kumu hoʻohālike i hoʻohana mua ʻia i ka hāʻawi ʻana i ka hilinaʻi, ʻaʻole i ʻike ʻia kēlā hoʻololi ʻana ma ka ʻaoʻao o nā mea hoʻohana.
E noʻonoʻo ana i ka ʻoiaʻiʻo ʻO ka papahana w3techs, ua hoʻohana ʻia ka WordPress platform ma 33.8% o nā pūnaewele ma ka pūnaewele, ua lawe ʻia ka hanana i ka nui o kahi pōʻino. I ka manawa like, ʻaʻole hypothetical ka pilikia o ka hoʻololi ʻana i ka ʻoihana, akā maoli maoli. No ka laʻana, he mau makahiki i hala aku nei kekahi o nā mea noiʻi palekana he palupalu i hiki ai i ka mea hoʻouka ke hoʻokō i kāna code ma ka ʻaoʻao kikowaena o api.wordpress.org.
I ka hihia o nā pūlima kikohoʻe, ʻo ka loaʻa ʻana o ka mana ma luna o ka mea hoʻolaha hoʻolaha hoʻolaha ʻaʻole e alakaʻi i ka hoʻololi ʻana i nā ʻōnaehana mea hoʻohana, no ka mea e hoʻokō i kahi hoʻouka ʻana, pono ʻoe e kiʻi i kahi kī pilikino i mālama ʻia, kahi e kau inoa ʻia ai nā mea hou.
ʻO ka hoʻokō ʻana i ka nānā ʻana i ke kumu o nā mea hou me ka hoʻohana ʻana i kahi pūlima kikohoʻe ua hoʻopilikia ʻia e ke kākoʻo ʻana i nā algorithms cryptographic pono i ʻike ʻia i loko o ka puʻupuʻu PHP maʻamau. Ua ʻike ʻia nā algorithm cryptographic e pono ai i ka hoʻohui ʻana o ka waihona i ka hui nui . Akā e like me ka palena haʻahaʻa i kākoʻo ʻia o PHP ma WordPress hoʻokuʻu 5.2.4 (mai WordPress 5.2 - 5.6.20). ʻO ka ʻae ʻana i ke kākoʻo no nā pūlima kikohoʻe e alakaʻi i ka piʻi nui ʻana i nā koi no ka mana haʻahaʻa i kākoʻo ʻia o PHP a i ʻole ka hoʻohui ʻana o kahi hilinaʻi waho, ʻaʻole hiki i nā mea hoʻomohala ke hana i ka laha ʻana o nā mana PHP i nā ʻōnaehana hoʻokipa.
ʻO ka hoʻonā a me ka hoʻokomo ʻana i kahi mana paʻa o Libsodium ma WordPress 5.2 - , kahi i hoʻokomo ʻia ai ka liʻiliʻi o nā algorithms no ka hōʻoia ʻana i nā pūlima kikohoʻe ma PHP. ʻO ka hoʻokō ʻana e waiho nui i ka makemake e pili ana i ka hana, akā hoʻopau loa i ka pilikia hoʻohālikelike, a hiki pū i nā mea hoʻomohala plugin e hoʻomaka e hoʻokō i nā algorithm cryptographic hou.
Hoʻohana ʻia kahi algorithm e hana i nā pūlima kikohoʻe , hoʻomohala ʻia me ke komo ʻana o Daniel J. Bernstein. Hoʻokumu ʻia kahi pūlima kikohoʻe no ka waiwai hash SHA384 i helu ʻia mai nā ʻike o ka waihona hōʻano hou. He kiʻekiʻe ka palekana o Ed25519 ma mua o ECDSA a me DSA, a hōʻike i ka wikiwiki kiʻekiʻe o ka hōʻoia a me ka hana pūlima. ʻO ke kū'ē ʻana i ka hacking no Ed25519 e pili ana i 2 ^ 128 (ma ka awelika, ʻo ka hoʻouka ʻana ma Ed25519 e koi ai i nā hana 2 ^ 140 bit), e pili ana i ke kūʻē ʻana o nā algorithms e like me NIST P-256 a me RSA me kahi kī nui o 3000 bits. a i ʻole 128-bit block cipher. ʻAʻole hiki ke maʻalahi ʻo Ed25519 i nā pilikia me ka hui ʻana o ka hash, a ʻaʻole i maʻalahi i ka hoʻouka ʻana i ka manawa cache a me nā hoʻouka ʻaoʻao.
Ma ka WordPress 5.2 hoʻokuʻu, ʻo ka hōʻoia hōʻailona hōʻoia i kēia manawa e uhi wale i nā mea hou o ka paepae nui a ʻaʻole e ālai i ka hoʻopou ma ka paʻamau, akā e hoʻomaopopo wale i ka mea hoʻohana e pili ana i ka pilikia. Ua hoʻoholo ʻia ʻaʻole hiki ke hoʻokaʻawale koke i ka paʻamau ma muli o ka pono no ka nānā piha ʻana a me ka bypass . I ka wā e hiki mai ana, ua hoʻolālā ʻia e hoʻohui i ka hōʻoia hōʻoia hōʻoia e hoʻololi i ke kumu o ka hoʻokomo ʻana i nā kumumanaʻo a me nā plugins (hiki i nā mea hana ke kau inoa i nā hoʻokuʻu me kā lākou kī).
Ma kahi o ke kākoʻo ʻana i nā pūlima kikohoʻe ma WordPress 5.2, hiki ke ʻike ʻia nā loli aʻe:
- Ua hoʻohui ʻia ʻelua ʻaoʻao hou i ka ʻāpana "Site Health" no ka hoʻopau ʻana i nā pilikia hoʻonohonoho maʻamau, a ua hāʻawi ʻia hoʻi kahi palapala e hiki ai i nā mea hoʻomohala ke waiho i ka ʻike debugging i nā luna hoʻomalu;
- Hoʻohui i ka hoʻokō ʻana i ka "pale keʻokeʻo o ka make", i hōʻike ʻia i ka hihia o nā pilikia make a me ke kōkua ʻana i ka luna hoʻomalu e hoʻoponopono kūʻokoʻa i nā pilikia e pili ana i nā plugins a i ʻole nā kumumanaʻo ma o ka hoʻololi ʻana i kahi ʻano hoʻihoʻi kūikawā;
- Ua hoʻokō ʻia kahi ʻōnaehana no ka nānā ʻana i ka hoʻohālikelike ʻana me nā plugins, e nānā maʻalahi i ka hiki ke hoʻohana i ka plugin i ka hoʻonohonoho o kēia manawa, e noʻonoʻo ana i ka mana PHP i hoʻohana ʻia. Inā makemake ka plugin i kahi mana hou o PHP e hana, e ālai ʻia ka ʻōnaehana i ka hoʻokomo ʻana i kēia plugin;
- Hoʻohui i ke kākoʻo no ka hiki ʻana i nā modula me ka hoʻohana ʻana i ka code JavaScript и ;
- Hoʻohui ʻia i kahi hiʻohiʻona privacy-policy.php hou e hiki ai iā ʻoe ke hoʻopilikino i ka ʻike o ka ʻaoʻao kulekele pilikino;
- No nā kumumanaʻo, ua hoʻohui ʻia kahi wp_body_open hook handler, kahi e hiki ai iā ʻoe ke hoʻokomo i ke code ma hope koke o ka hōʻailona kino;
- Ua hoʻokiʻekiʻe ʻia nā koi no ka mana haʻahaʻa o PHP i 5.6.20, hiki i nā plugins a me nā kumumanaʻo ke hoʻohana i nā inoa inoa a me nā hana inoa ʻole;
- Hoʻohui i 13 mau kiʻi hou.
Eia hou, hiki iā ʻoe ke haʻi pilikia koʻikoʻi ma WordPress plugin (CVE-2019-11185). Hāʻawi ka haʻahaʻa haʻahaʻa i ke code PHP arbitrary e hoʻokō ʻia ma ke kikowaena. Hoʻohana ʻia ka plugin ma mua o 27 tausani mau pūnaewele e hoʻonohonoho i kahi kamaʻilio kamaʻilio me kahi malihini, me nā pūnaewele o nā hui e like me IKEA, Adobe, Huawei, PayPal, Tele2 a me McDonald's (Hoʻohana pinepine ʻia ʻo Live Chat e hoʻokō i nā pop-up hoʻonāukiuki. kamaʻilio ma nā pūnaewele ʻoihana me ka hāʻawi ʻana i ke kamaʻilio me ka limahana).
Hōʻike ka pilikia iā ia iho i ke code no ka hoʻouka ʻana i nā faila i ke kikowaena a hiki iā ʻoe ke kāpae i ka nānā ʻana o nā ʻano faila kūpono a hoʻouka i kahi palapala PHP i ke kikowaena, a laila hoʻokō pololei ma o ka pūnaewele. ʻO ka mea e mahalo ai, i ka makahiki i hala ua ʻike mua ʻia kahi nāwaliwali like ma Live Chat (CVE-2018-12426), ka mea i ʻae i ka hoʻouka ʻana i ka code PHP ma lalo o ke ʻano o kahi kiʻi, e hōʻike ana i kahi ʻano ʻike ʻokoʻa ma ka kahua ʻano Content. Ma ke ʻano o ka hoʻoponopono, ua hoʻohui ʻia nā loiloi hou no nā papa inoa keʻokeʻo a me ke ʻano ʻike MIME. E like me ka mea i ʻike ʻia, ua hoʻokō hewa ʻia kēia mau loiloi a hiki ke maʻalahi ke kāpae ʻia.
ʻO ka mea nui, ua pāpā ʻia ka hoʻouka pololei ʻana i nā faila me ka ".php", akā ʻaʻole i hoʻohui ʻia ka ".phtml", e pili ana me ka unuhi ʻōlelo PHP ma nā kikowaena he nui, i ka papa inoa ʻeleʻele. Hiki i ka papa inoa keʻokeʻo ke hoʻouka i nā kiʻi, akā hiki iā ʻoe ke kāʻalo iā ia ma ke kuhikuhi ʻana i kahi hoʻonui pālua, no ka laʻana, ".gif.phtml". No ke kāpae ʻana i ka nānā ʻana i ka MIME type ma ka hoʻomaka ʻana o ka faila, ma mua o ka wehe ʻana i ka tag me PHP code, ua lawa ia e kuhikuhi i ka laina "GIF89a".
Source: opennet.ru