lage nan sistèm jesyon kontni entènèt . Liberasyon an remakab pou fini li sou aplikasyon tcheke mizajou ak ajoute lè l sèvi avèk yon siyati dijital.
Jiska prezan, lè w ap enstale mizajou nan WordPress Faktè prensipal pou asire sekirite a se te konfyans nan enfrastrikti a ak sèvè yo. WordPress (Apre telechajman an, yo te verifye hach la san yo pa verifye sous la). Si sèvè pwojè a te konpwomèt, atakè yo te gen opòtinite pou ranplase mizajou a epi distribye kòd move pami sit ki baze sou WordPress, lè l sèvi avèk sistèm enstalasyon otomatik mizajou a. Anba modèl livrezon ou fè konfyans ki te itilize anvan an, yon sibstitisyon konsa pa t ap remake pa itilizatè yo.
Lè w ap pran an kont lefèt ke pwojè platfòm w3techs WordPress itilize pa 33.8% nan sit entènèt sou Entènèt la, yon ensidan ta katastwofik. Anplis, danje pou konpwomèt enfrastrikti a pa t ipotetik, men byen reyèl. Pa egzanp, plizyè ane de sa, yon chèchè sekirite yon vilnerabilite ki pèmèt yon atakè egzekite kòd li sou bò sèvè api.wordpress.org.
Nan ka siyati dijital, pran kontwòl sou sèvè distribisyon aktyalizasyon a pa pral mennen nan konpwomi nan sistèm itilizatè yo, depi fè yon atak, ou pral Anplis de sa bezwen jwenn yon kle prive ki estoke separeman, ak ki mizajou yo siyen.
Aplikasyon an nan tcheke sous la nan mizajou lè l sèvi avèk yon siyati dijital te anpeche pa lefèt ke sipò pou algoritm kriptografik ki nesesè yo te parèt nan pake PHP estanda a relativman dènyèman. Algoritm kriptografik ki nesesè yo te parèt gras a entegrasyon bibliyotèk la nan ekip prensipal la Men, omwen sipòte nan WordPress Vèsyon PHP yo Vèsyon 5.2.4 (apati de WordPress 5.2 - 5.6.20). Si yo te aktive sipò pou siyati dijital, sa t ap ogmante anpil egzijans pou vèsyon PHP minimòm ki sipòte a oubyen ajoute yon depandans ekstèn, sa devlopè yo pa t kapab fè akòz prevalans vèsyon PHP yo sou sistèm hosting yo.
Solisyon an te ak enklizyon nan konpozisyon an WordPress 5.2 varyant konpak Libsodium - , nan ki yon seri minimòm algoritm pou verifye siyati dijital yo aplike nan PHP. Aplikasyon an kite anpil bagay yo dwe vle an tèm de pèfòmans, men konplètman rezoud pwoblèm nan konpatibilite, epi tou li pèmèt devlopè plugin yo kòmanse aplike algoritm kriptografik modèn.
Yo itilize yon algorithm pou jenere siyati dijital , devlope ak patisipasyon Daniel J. Bernstein. Yo pwodwi yon siyati dijital pou valè SHA384 kalkile apati sa ki nan achiv aktyalizasyon an. Ed25519 gen yon nivo sekirite ki pi wo pase ECDSA ak DSA, epi li demontre yon vitès trè wo nan verifikasyon ak kreyasyon siyati. Rezistans nan piratage pou Ed25519 se apeprè 2 ^ 128 (an mwayèn, yon atak sou Ed25519 pral mande pou operasyon 2 ^ 140 bit), ki koresponn ak rezistans nan algoritm tankou NIST P-256 ak RSA ak yon gwosè kle nan 3000 bit. oswa 128-bit blòk chifreman. Ed25519 tou pa sansib a pwoblèm ak kolizyon hash, epi li pa sansib a atak kachèt-timing oswa atak bò-chanèl.
Nan pwoblèm WordPress 5.2 Verifikasyon siyati dijital la kounye a sèlman kouvri gwo mizajou platfòm yo epi li pa bloke mizajou a pa default, men li sèlman enfòme itilizatè a sou pwoblèm nan. Yo te deside pou pa aktive blokaj pa default akòz nesesite pou yon verifikasyon konplè ak yon kontouneman. . Nan lavni an, li planifye tou pou ajoute verifikasyon siyati dijital pou vèsifye sous enstalasyon tèm ak grefon (manifakti yo pral kapab siyen degaje yo ak kle yo).
Anplis sipòte siyati dijital yo, WordPress 5.2 Chanjman sa yo ka note:
- Yo te ajoute de nouvo paj nan seksyon "Site Sit" pou debogaj pwoblèm konfigirasyon komen yo, epi yo te bay yon fòm tou kote devlopè yo ka kite enfòmasyon debogaj bay administratè sit yo;
- Te ajoute aplikasyon "ekran blan lanmò a", parèt nan ka ta gen pwoblèm fatal epi ede administratè a poukont li ranje pwoblèm ki gen rapò ak grefon oswa tèm pa chanje nan yon mòd rekiperasyon aksidan espesyal;
- Yo te aplike yon sistèm pou tcheke konpatibilite ak grefon, ki otomatikman tcheke posiblite pou itilize plugin a nan konfigirasyon aktyèl la, pran an kont vèsyon PHP yo itilize a. Si yon plugin mande yon nouvo vèsyon PHP pou travay, sistèm lan pral otomatikman bloke enklizyon plugin sa a;
- Te ajoute sipò pou pèmèt modil ak kòd JavaScript lè l sèvi avèk и ;
- Te ajoute yon nouvo modèl privacy-policy.php ki pèmèt ou Customize kontni an nan paj la règleman sou vi prive;
- Pou tèm, yo te ajoute yon kwòk kwòk wp_body_open, ki pèmèt ou mete kòd imedyatman apre tag kò a;
- Kondisyon pou vèsyon minimòm PHP a te ogmante nan 5.6.20; grefon ak tèm kounye a gen kapasite pou itilize espas non ak fonksyon anonim;
- Te ajoute 13 nouvo ikon.
Anplis de sa, ou ka mansyone vilnerabilite kritik nan WordPress-plugin (CVE-2019-11185). Vilnerabilite a pèmèt kòd PHP abitrè yo dwe egzekite sou sèvè a. Se Plugin la itilize sou plis pase 27 mil sit yo òganize yon chat entèaktif ak yon vizitè, ki gen ladan sou sit sa yo nan konpayi tankou IKEA, Adobe, Huawei, PayPal, Tele2 ak McDonald's (Live Chat se souvan itilize aplike pop-up anmèdan. chat sou sit konpayi yo ak ofri chat ak anplwaye a).
Pwoblèm nan manifeste tèt li nan kòd la pou telechaje dosye sou sèvè a epi li pèmèt ou kontoune chèk la nan kalite dosye ki valab ak Upload yon script PHP sou sèvè a, ak Lè sa a, egzekite li dirèkteman sou entènèt la. Enteresan, ane pase a te deja idantifye yon vilnerabilite menm jan an nan Live Chat (CVE-2018-12426), ki te pèmèt chaje PHP kòd anba laparans yon imaj, ki espesifye yon kalite kontni diferan nan jaden an Content-type. Kòm yon pati nan ranje a, chèk adisyonèl yo te ajoute pou lis blan ak kalite kontni MIME. Kòm li vire soti, chèk sa yo aplike mal epi yo ka fasilman iyore.
An patikilye, telechaje dirèk nan fichye ki gen ekstansyon ".php" la entèdi, men ekstansyon ".phtml", ki asosye ak entèprèt PHP sou anpil sèvè, pa te ajoute nan lis nwa a. Lis blan an sèlman pèmèt uploads imaj, men ou ka kontoune li lè w espesifye yon ekstansyon doub, pou egzanp, ".gif.phtml". Pou kontoune chèk kalite MIME nan kòmansman fichye a, anvan ou louvri tag la ak kòd PHP, li te ase pou presize liy "GIF89a".
Sous: opennet.ru
