lage nan sistèm jesyon kontni entènèt . Liberasyon an remakab pou fini li sou aplikasyon tcheke mizajou ak ajoute lè l sèvi avèk yon siyati dijital.
Jiska kounye a, lè w ap enstale mizajou nan WordPress, faktè sekirite prensipal la te fè konfyans nan enfrastrikti WordPress ak serveurs (apre telechaje, yo te tcheke hash la san yo pa verifye sous la). Si sèvè pwojè a yo te konpwomèt, atakè yo te kapab spoof yon aktyalizasyon ak distribye move kòd pami sit WordPress ki baze sou ki itilize yon sistèm enstalasyon aktyalizasyon otomatik. An akò ak modèl livrezon konfyans yo te itilize deja, yon sibstitisyon konsa ta pase inapèsi sou bò itilizatè yo.
Lè w ap pran an kont lefèt ke nan pwojè w3techs la, se platfòm la WordPress itilize sou 33.8% nan sit sou rezo a, ensidan an ta pran sou echèl la nan yon dezas. An menm tan an, danje a nan konpwomi enfrastrikti pa t ipotetik, men byen reyèl. Pou egzanp, plizyè ane de sa youn nan chèchè yo sekirite yon vilnerabilite ki pèmèt yon atakè egzekite kòd li sou bò sèvè api.wordpress.org.
Nan ka siyati dijital, pran kontwòl sou sèvè distribisyon aktyalizasyon a pa pral mennen nan konpwomi nan sistèm itilizatè yo, depi fè yon atak, ou pral Anplis de sa bezwen jwenn yon kle prive ki estoke separeman, ak ki mizajou yo siyen.
Aplikasyon an nan tcheke sous la nan mizajou lè l sèvi avèk yon siyati dijital te anpeche pa lefèt ke sipò pou algoritm kriptografik ki nesesè yo te parèt nan pake PHP estanda a relativman dènyèman. Algoritm kriptografik ki nesesè yo te parèt gras a entegrasyon bibliyotèk la nan ekip prensipal la . Men, kòm vèsyon an minimòm sipòte nan PHP nan WordPress lage 5.2.4 (ki soti nan WordPress 5.2 - 5.6.20). Pèmèt sipò pou siyati dijital ta mennen nan yon ogmantasyon siyifikatif nan kondisyon yo pou vèsyon an minimòm sipòte nan PHP oswa adisyon a nan yon depandans ekstèn, ki devlopè pa t 'kapab fè akòz prévalence nan vèsyon PHP nan sistèm hosting.
Solisyon an te ak enklizyon yon vèsyon kontra enfòmèl ant Libsodium nan WordPress 5.2 - , nan ki yon seri minimòm algoritm pou verifye siyati dijital yo aplike nan PHP. Aplikasyon an kite anpil bagay yo dwe vle an tèm de pèfòmans, men konplètman rezoud pwoblèm nan konpatibilite, epi tou li pèmèt devlopè plugin yo kòmanse aplike algoritm kriptografik modèn.
Yo itilize yon algorithm pou jenere siyati dijital , devlope ak patisipasyon Daniel J. Bernstein. Yo pwodwi yon siyati dijital pou valè SHA384 kalkile apati sa ki nan achiv aktyalizasyon an. Ed25519 gen yon nivo sekirite ki pi wo pase ECDSA ak DSA, epi li demontre yon vitès trè wo nan verifikasyon ak kreyasyon siyati. Rezistans nan piratage pou Ed25519 se apeprè 2 ^ 128 (an mwayèn, yon atak sou Ed25519 pral mande pou operasyon 2 ^ 140 bit), ki koresponn ak rezistans nan algoritm tankou NIST P-256 ak RSA ak yon gwosè kle nan 3000 bit. oswa 128-bit blòk chifreman. Ed25519 tou pa sansib a pwoblèm ak kolizyon hash, epi li pa sansib a atak kachèt-timing oswa atak bò-chanèl.
Nan lage WordPress 5.2, verifikasyon siyati dijital kounye a sèlman kouvri gwo mizajou platfòm epi li pa bloke aktyalizasyon a pa default, men sèlman enfòme itilizatè a sou pwoblèm nan. Li te deside pa pèmèt bloke default la imedyatman akòz bezwen an pou yon chèk konplè ak kontoune . Nan lavni an, li planifye tou pou ajoute verifikasyon siyati dijital pou vèsifye sous enstalasyon tèm ak grefon (manifakti yo pral kapab siyen degaje yo ak kle yo).
Anplis de sipò pou siyati dijital nan WordPress 5.2, chanjman sa yo ka note:
- Yo te ajoute de nouvo paj nan seksyon "Site Sit" pou debogaj pwoblèm konfigirasyon komen yo, epi yo te bay yon fòm tou kote devlopè yo ka kite enfòmasyon debogaj bay administratè sit yo;
- Te ajoute aplikasyon "ekran blan lanmò a", parèt nan ka ta gen pwoblèm fatal epi ede administratè a poukont li ranje pwoblèm ki gen rapò ak grefon oswa tèm pa chanje nan yon mòd rekiperasyon aksidan espesyal;
- Yo te aplike yon sistèm pou tcheke konpatibilite ak grefon, ki otomatikman tcheke posiblite pou itilize plugin a nan konfigirasyon aktyèl la, pran an kont vèsyon PHP yo itilize a. Si yon plugin mande yon nouvo vèsyon PHP pou travay, sistèm lan pral otomatikman bloke enklizyon plugin sa a;
- Te ajoute sipò pou pèmèt modil ak kòd JavaScript lè l sèvi avèk и ;
- Te ajoute yon nouvo modèl privacy-policy.php ki pèmèt ou Customize kontni an nan paj la règleman sou vi prive;
- Pou tèm, yo te ajoute yon kwòk kwòk wp_body_open, ki pèmèt ou mete kòd imedyatman apre tag kò a;
- Kondisyon pou vèsyon minimòm PHP a te ogmante nan 5.6.20; grefon ak tèm kounye a gen kapasite pou itilize espas non ak fonksyon anonim;
- Te ajoute 13 nouvo ikon.
Anplis de sa, ou ka mansyone vilnerabilite kritik nan plugin WordPress (CVE-2019-11185). Vilnerabilite a pèmèt kòd PHP abitrè yo dwe egzekite sou sèvè a. Se Plugin la itilize sou plis pase 27 mil sit yo òganize yon chat entèaktif ak yon vizitè, ki gen ladan sou sit sa yo nan konpayi tankou IKEA, Adobe, Huawei, PayPal, Tele2 ak McDonald's (Live Chat se souvan itilize aplike pop-up anmèdan. chat sou sit konpayi yo ak ofri chat ak anplwaye a).
Pwoblèm nan manifeste tèt li nan kòd la pou telechaje dosye sou sèvè a epi li pèmèt ou kontoune chèk la nan kalite dosye ki valab ak Upload yon script PHP sou sèvè a, ak Lè sa a, egzekite li dirèkteman sou entènèt la. Enteresan, ane pase a te deja idantifye yon vilnerabilite menm jan an nan Live Chat (CVE-2018-12426), ki te pèmèt chaje PHP kòd anba laparans yon imaj, ki espesifye yon kalite kontni diferan nan jaden an Content-type. Kòm yon pati nan ranje a, chèk adisyonèl yo te ajoute pou lis blan ak kalite kontni MIME. Kòm li vire soti, chèk sa yo aplike mal epi yo ka fasilman iyore.
An patikilye, telechaje dirèk nan fichye ki gen ekstansyon ".php" la entèdi, men ekstansyon ".phtml", ki asosye ak entèprèt PHP sou anpil sèvè, pa te ajoute nan lis nwa a. Lis blan an sèlman pèmèt uploads imaj, men ou ka kontoune li lè w espesifye yon ekstansyon doub, pou egzanp, ".gif.phtml". Pou kontoune chèk kalite MIME nan kòmansman fichye a, anvan ou louvri tag la ak kòd PHP, li te ase pou presize liy "GIF89a".
Sous: opennet.ru