デジタル署名による更新チェックをサポートしたWordPress 5.2のリリース

から提出された Webコンテンツ管理システムのリリース WordPressの5.2。 このリリースはその完成度が注目に値する XNUMX年間の叙事詩 実装について チャンス デジタル署名を使用して更新と追加をチェックします。

これまで、WordPress にアップデートをインストールする場合、主なセキュリティ要素は WordPress インフラストラクチャとサーバーに対する信頼でした (ダウンロード後、ソースを検証せずにハッシュがチェックされました)。 プロジェクトのサーバーが侵害された場合、攻撃者はアップデートを偽装し、自動アップデート インストール システムを使用する WordPress ベースのサイト間で悪意のあるコードを配布することができます。 以前に使用されていた信頼配信モデルによれば、このような置換はユーザー側では気づかれないでしょう。

という事実を考慮すると、 による w3techs プロジェクトでは、WordPress プラットフォームがネットワーク上のサイトの 33.8% で使用されている場合、このインシデントは災害規模に達したでしょう。 同時に、インフラストラクチャ侵害の危険性は仮説ではなく、非常に現実的でした。 たとえば、数年前、あるセキュリティ研究者は、 実証された この脆弱性により、攻撃者は api.wordpress.org のサーバー側でコードを実行できます。

デジタル署名の場合、更新配布サーバーを制御してもユーザー システムが侵害されることはありません。攻撃を実行するには、更新に署名するために別途保存された秘密キーを取得する必要があるためです。

デジタル署名を使用して更新元をチェックする実装は、必要な暗号化アルゴリズムのサポートが標準 PHP パッケージに比較的最近登場したという事実によって妨げられました。 ライブラリの統合により、必要な暗号アルゴリズムが登場 リブナトリウム メインチームへ PHP 7.2。 ただし、WordPress でサポートされる PHP の最小バージョンとしては 宣言された リリース 5.2.4 (WordPress 5.2 ～ 5.6.20)。 デジタル署名のサポートを有効にすると、サポートされる PHP の最小バージョンの要件が大幅に増加したり、外部依存関係を追加したりすることになりますが、ホスティング システムでの PHP バージョンの普及を考慮すると、開発者はこれを行うことができませんでした。

解決策は 開発 そしてWordPress 5.2にはLibsodiumのコンパクトバージョンが含まれています - ナトリウムコンパクト、デジタル署名を検証するための最小限のアルゴリズムのセットが PHP で実装されています。 この実装にはパフォーマンスの点で多くの要望が残されていますが、互換性の問題は完全に解決され、プラグイン開発者が最新の暗号アルゴリズムの実装を開始できるようになります。

デジタル署名の生成にはアルゴリズムが使用されます Ed25519、ダニエル・J・バーンスタインの参加により開発されました。 アップデート アーカイブの内容から計算された SHA384 ハッシュ値に対してデジタル署名が生成されます。 Ed25519 は ECDSA や DSA よりも高いセキュリティレベルを備えており、検証と署名の作成が非常に高速です。 Ed25519 のハッキングに対する耐性は約 2^128 (平均して、Ed25519 への攻撃には 2^140 ビットの操作が必要です) であり、これはキー サイズ 256 ビットの NIST P-3000 や RSA などのアルゴリズムの耐性に相当します。または 128 ビットのブロック暗号。 また、Ed25519 はハッシュ衝突の問題の影響を受けにくく、キャッシュ タイミング攻撃やサイドチャネル攻撃の影響も受けません。

WordPress 5.2 リリースでは、デジタル署名検証は現在、主要なプラットフォームのアップデートのみを対象としており、デフォルトではアップデートをブロックしませんが、問題についてユーザーに通知するだけです。 完全なチェックとバイパスが必要なため、デフォルトのブロックをすぐに有効にしないことが決定されました。 考えられる問題。 将来的には、テーマやプラグインのインストール元を検証するためのデジタル署名検証も追加する予定です (メーカーはキーを使用してリリースに署名できるようになります)。

WordPress 5.2 でのデジタル署名のサポートに加えて、次の変更点に注意してください。

• 一般的な構成問題をデバッグするための XNUMX つの新しいページが「サイトの健全性」セクションに追加されました。また、開発者がサイト管理者にデバッグ情報を残すためのフォームも提供されました。
• 「死の白い画面」の実装を追加しました。致命的な問題が発生した場合に表示され、特別なクラッシュ回復モードに切り替えることで、管理者がプラグインやテーマに関連する問題を独自に修正できるようになります。
• プラグインの互換性をチェックするシステムが実装されており、使用されている PHP のバージョンを考慮して、現在の構成でプラグインが使用できるかどうかを自動的にチェックします。 プラグインが動作するために新しいバージョンの PHP が必要な場合、システムはこのプラグインの組み込みを自動的にブロックします。
• を使用して JavaScript コードでモジュールを有効にするためのサポートが追加されました。 ウェブパック и バベル;
• プライバシー ポリシー ページのコンテンツをカスタマイズできる新しいprivacy-policy.php テンプレートを追加しました。
• テーマの場合、wp_body_open フック ハンドラーが追加され、body タグの直後にコードを挿入できるようになりました。
• PHP の最小バージョンの要件が 5.6.20 に引き上げられ、プラグインとテーマで名前空間と匿名関数を使用できるようになりました。
• 13 個の新しいアイコンが追加されました。

さらに、次のように言及することもできます 識別 WordPress プラグインの重大な脆弱性 WP ライブチャット (CVE-2019-11185)。 この脆弱性により、サーバー上で任意の PHP コードが実行される可能性があります。 このプラグインは、IKEA、Adobe、Huawei、PayPal、Tele27、McDonald などの企業のサイトを含む、訪問者との対話型チャットを組織するために 2 以上のサイトで使用されています (ライブ チャットは、煩わしいポップアップの実装によく使用されます)企業サイトで従業員とのチャットを提供するチャット)。

この問題はサーバーにファイルをアップロードするコードに現れ、有効なファイル タイプのチェックをバイパスして PHP スクリプトをサーバーにアップロードし、Web 経由で直接実行できるようになります。 興味深いことに、昨年、ライブ チャット (CVE-2018-12426) で同様の脆弱性がすでに特定されており、Content-type フィールドに異なるコンテンツ タイプを指定して、画像を装って PHP コードを読み込むことができました。 修正の一環として、ホワイトリストと MIME コンテンツ タイプに対する追加のチェックが追加されました。 結局のところ、これらのチェックは正しく実装されておらず、簡単に回避されてしまう可能性があります。

特に、拡張子「.php」を持つファイルの直接アップロードは禁止されていますが、多くのサーバーの PHP インタープリタに関連付けられている拡張子「.phtml」はブラックリストに追加されませんでした。 ホワイトリストでは画像のアップロードのみが許可されていますが、「.gif.phtml」などの二重拡張子を指定することでこれをバイパスできます。 ファイルの先頭で MIME タイプのチェックをバイパスするには、PHP コードでタグを開く前に、「GIF89a」という行を指定するだけで十分です。

出所： オープンネット.ru