ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ಮೂಲಕ ನವೀಕರಣಗಳನ್ನು ಪರಿಶೀಲಿಸುವ ಬೆಂಬಲದೊಂದಿಗೆ ವರ್ಡ್ಪ್ರೆಸ್ 5.2 ಬಿಡುಗಡೆ

ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ಮೂಲಕ ನವೀಕರಣಗಳನ್ನು ಪರಿಶೀಲಿಸುವ ಬೆಂಬಲದೊಂದಿಗೆ ವರ್ಡ್ಪ್ರೆಸ್ 5.2 ಬಿಡುಗಡೆ

ಪರಿಚಯಿಸಿದರು ವೆಬ್ ವಿಷಯ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಯ ಬಿಡುಗಡೆ ವರ್ಡ್ಪ್ರೆಸ್ 5.2. ಬಿಡುಗಡೆಯು ಅದರ ಪೂರ್ಣಗೊಳಿಸುವಿಕೆಗೆ ಗಮನಾರ್ಹವಾಗಿದೆ ಆರು ವರ್ಷಗಳ ಮಹಾಕಾವ್ಯ ಅನುಷ್ಠಾನದ ಮೇಲೆ ಅವಕಾಶಗಳನ್ನು ಡಿಜಿಟಲ್ ಸಹಿಯನ್ನು ಬಳಸಿಕೊಂಡು ನವೀಕರಣಗಳು ಮತ್ತು ಸೇರ್ಪಡೆಗಳನ್ನು ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ.

ಇಲ್ಲಿಯವರೆಗೆ, ವರ್ಡ್ಪ್ರೆಸ್ನಲ್ಲಿ ನವೀಕರಣಗಳನ್ನು ಸ್ಥಾಪಿಸುವಾಗ, ಮುಖ್ಯ ಭದ್ರತಾ ಅಂಶವೆಂದರೆ ವರ್ಡ್ಪ್ರೆಸ್ ಮೂಲಸೌಕರ್ಯ ಮತ್ತು ಸರ್ವರ್‌ಗಳಲ್ಲಿನ ನಂಬಿಕೆ (ಡೌನ್‌ಲೋಡ್ ಮಾಡಿದ ನಂತರ, ಮೂಲವನ್ನು ಪರಿಶೀಲಿಸದೆ ಹ್ಯಾಶ್ ಅನ್ನು ಪರಿಶೀಲಿಸಲಾಗಿದೆ). ಪ್ರಾಜೆಕ್ಟ್‌ನ ಸರ್ವರ್‌ಗಳು ರಾಜಿ ಮಾಡಿಕೊಂಡರೆ, ಆಕ್ರಮಣಕಾರರು ನವೀಕರಣವನ್ನು ವಂಚಿಸಲು ಮತ್ತು ಸ್ವಯಂಚಾಲಿತ ಅಪ್‌ಡೇಟ್ ಸ್ಥಾಪನೆ ವ್ಯವಸ್ಥೆಯನ್ನು ಬಳಸುವ ವರ್ಡ್‌ಪ್ರೆಸ್-ಆಧಾರಿತ ಸೈಟ್‌ಗಳ ನಡುವೆ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ವಿತರಿಸಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ. ಹಿಂದೆ ಬಳಸಿದ ವಿಶ್ವಾಸಾರ್ಹ ವಿತರಣಾ ಮಾದರಿಗೆ ಅನುಗುಣವಾಗಿ, ಅಂತಹ ಪರ್ಯಾಯವು ಬಳಕೆದಾರರ ಕಡೆಯಿಂದ ಗಮನಕ್ಕೆ ಬರುವುದಿಲ್ಲ.

ಎಂಬ ಅಂಶವನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಂಡು ನೀಡಲಾಗಿದೆ w3techs ಯೋಜನೆಯಲ್ಲಿ, ವರ್ಡ್ಪ್ರೆಸ್ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್ ಅನ್ನು ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ 33.8% ಸೈಟ್‌ಗಳಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ, ಘಟನೆಯು ದುರಂತದ ಪ್ರಮಾಣದಲ್ಲಿ ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ. ಅದೇ ಸಮಯದಲ್ಲಿ, ಮೂಲಸೌಕರ್ಯ ರಾಜಿ ಅಪಾಯವು ಕಾಲ್ಪನಿಕವಾಗಿರಲಿಲ್ಲ, ಆದರೆ ಸಾಕಷ್ಟು ನೈಜವಾಗಿದೆ. ಉದಾಹರಣೆಗೆ, ಹಲವಾರು ವರ್ಷಗಳ ಹಿಂದೆ ಭದ್ರತಾ ಸಂಶೋಧಕರಲ್ಲಿ ಒಬ್ಬರು ಪ್ರದರ್ಶಿಸಿದರು api.wordpress.org ನ ಸರ್ವರ್ ಬದಿಯಲ್ಲಿ ಆಕ್ರಮಣಕಾರನಿಗೆ ತನ್ನ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುವ ದುರ್ಬಲತೆ.

ಡಿಜಿಟಲ್ ಸಹಿಗಳ ಸಂದರ್ಭದಲ್ಲಿ, ಅಪ್‌ಡೇಟ್ ವಿತರಣಾ ಸರ್ವರ್‌ನ ಮೇಲೆ ನಿಯಂತ್ರಣವನ್ನು ಪಡೆಯುವುದು ಬಳಕೆದಾರ ಸಿಸ್ಟಮ್‌ಗಳ ರಾಜಿಗೆ ಕಾರಣವಾಗುವುದಿಲ್ಲ, ಏಕೆಂದರೆ ದಾಳಿಯನ್ನು ನಡೆಸಲು, ನೀವು ಹೆಚ್ಚುವರಿಯಾಗಿ ಪ್ರತ್ಯೇಕವಾಗಿ ಸಂಗ್ರಹಿಸಲಾದ ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ಪಡೆಯಬೇಕಾಗುತ್ತದೆ, ಅದರೊಂದಿಗೆ ನವೀಕರಣಗಳನ್ನು ಸಹಿ ಮಾಡಲಾಗುತ್ತದೆ.

ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ನವೀಕರಣಗಳ ಮೂಲವನ್ನು ಪರಿಶೀಲಿಸುವ ಅನುಷ್ಠಾನವು ತುಲನಾತ್ಮಕವಾಗಿ ಇತ್ತೀಚೆಗೆ ಪ್ರಮಾಣಿತ PHP ಪ್ಯಾಕೇಜ್‌ನಲ್ಲಿ ಅಗತ್ಯ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳಿಗೆ ಬೆಂಬಲವು ಕಾಣಿಸಿಕೊಂಡಿದೆ ಎಂಬ ಅಂಶದಿಂದ ಅಡಚಣೆಯಾಗಿದೆ. ಗ್ರಂಥಾಲಯದ ಏಕೀಕರಣಕ್ಕೆ ಧನ್ಯವಾದಗಳು ಅಗತ್ಯ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕ್ರಮಾವಳಿಗಳು ಕಾಣಿಸಿಕೊಂಡವು ಲಿಬ್ಸೋಡಿಯಮ್ ಮುಖ್ಯ ತಂಡಕ್ಕೆ PHP 7.2. ಆದರೆ WordPress ನಲ್ಲಿ PHP ಯ ಕನಿಷ್ಠ ಬೆಂಬಲಿತ ಆವೃತ್ತಿಯಂತೆ ತಿಳಿಸಿದ್ದಾರೆ ಬಿಡುಗಡೆ 5.2.4 (ವರ್ಡ್ಪ್ರೆಸ್ 5.2 ರಿಂದ - 5.6.20). ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್‌ಗಳಿಗೆ ಬೆಂಬಲವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವುದರಿಂದ PHP ಯ ಕನಿಷ್ಠ ಬೆಂಬಲಿತ ಆವೃತ್ತಿಯ ಅಗತ್ಯತೆಗಳಲ್ಲಿ ಗಮನಾರ್ಹ ಹೆಚ್ಚಳ ಅಥವಾ ಬಾಹ್ಯ ಅವಲಂಬನೆಯ ಸೇರ್ಪಡೆಗೆ ಕಾರಣವಾಗುತ್ತದೆ, ಹೋಸ್ಟಿಂಗ್ ಸಿಸ್ಟಮ್‌ಗಳಲ್ಲಿ PHP ಆವೃತ್ತಿಗಳ ಪ್ರಭುತ್ವವನ್ನು ನೀಡಿದ ಡೆವಲಪರ್‌ಗಳು ಇದನ್ನು ಮಾಡಲು ಸಾಧ್ಯವಾಗಲಿಲ್ಲ.

ಪರಿಹಾರವಾಗಿತ್ತು ಅಭಿವೃದ್ಧಿ ಮತ್ತು ವರ್ಡ್ಪ್ರೆಸ್ 5.2 ರಲ್ಲಿ ಲಿಬ್ಸೋಡಿಯಂನ ಕಾಂಪ್ಯಾಕ್ಟ್ ಆವೃತ್ತಿಯ ಸೇರ್ಪಡೆ - ಸೋಡಿಯಂ ಕಾಂಪಾಟ್, ಇದರಲ್ಲಿ ಡಿಜಿಟಲ್ ಸಹಿಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಕನಿಷ್ಠ ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು PHP ಯಲ್ಲಿ ಅಳವಡಿಸಲಾಗಿದೆ. ಅನುಷ್ಠಾನವು ಕಾರ್ಯಕ್ಷಮತೆಯ ವಿಷಯದಲ್ಲಿ ಅಪೇಕ್ಷಿತವಾಗಿರುವುದನ್ನು ಬಿಟ್ಟುಬಿಡುತ್ತದೆ, ಆದರೆ ಹೊಂದಾಣಿಕೆಯ ಸಮಸ್ಯೆಯನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಪರಿಹರಿಸುತ್ತದೆ ಮತ್ತು ಆಧುನಿಕ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ಅಳವಡಿಸಲು ಪ್ಲಗಿನ್ ಡೆವಲಪರ್‌ಗಳಿಗೆ ಅವಕಾಶ ನೀಡುತ್ತದೆ.

ಡಿಜಿಟಲ್ ಸಹಿಯನ್ನು ರಚಿಸಲು ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ Ed25519, ಡೇನಿಯಲ್ J. ಬರ್ನ್‌ಸ್ಟೈನ್ ಅವರ ಭಾಗವಹಿಸುವಿಕೆಯೊಂದಿಗೆ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ. ಅಪ್‌ಡೇಟ್ ಆರ್ಕೈವ್‌ನ ವಿಷಯಗಳಿಂದ ಲೆಕ್ಕಾಚಾರ ಮಾಡಲಾದ SHA384 ಹ್ಯಾಶ್ ಮೌಲ್ಯಕ್ಕಾಗಿ ಡಿಜಿಟಲ್ ಸಹಿಯನ್ನು ರಚಿಸಲಾಗಿದೆ. Ed25519 ECDSA ಮತ್ತು DSA ಗಿಂತ ಹೆಚ್ಚಿನ ಮಟ್ಟದ ಭದ್ರತೆಯನ್ನು ಹೊಂದಿದೆ ಮತ್ತು ಪರಿಶೀಲನೆ ಮತ್ತು ಸಹಿ ರಚನೆಯ ಅತಿ ಹೆಚ್ಚಿನ ವೇಗವನ್ನು ಪ್ರದರ್ಶಿಸುತ್ತದೆ. Ed25519 ಗಾಗಿ ಹ್ಯಾಕಿಂಗ್‌ಗೆ ಪ್ರತಿರೋಧವು ಸುಮಾರು 2^128 ಆಗಿದೆ (ಸರಾಸರಿ, Ed25519 ಮೇಲಿನ ದಾಳಿಗೆ 2^140 ಬಿಟ್ ಕಾರ್ಯಾಚರಣೆಗಳ ಅಗತ್ಯವಿರುತ್ತದೆ), ಇದು 256 ಬಿಟ್‌ಗಳ ಪ್ರಮುಖ ಗಾತ್ರದೊಂದಿಗೆ NIST P-3000 ಮತ್ತು RSA ನಂತಹ ಅಲ್ಗಾರಿದಮ್‌ಗಳ ಪ್ರತಿರೋಧಕ್ಕೆ ಅನುರೂಪವಾಗಿದೆ. ಅಥವಾ 128-ಬಿಟ್ ಬ್ಲಾಕ್ ಸೈಫರ್. Ed25519 ಸಹ ಹ್ಯಾಶ್ ಘರ್ಷಣೆಯ ಸಮಸ್ಯೆಗಳಿಗೆ ಒಳಗಾಗುವುದಿಲ್ಲ, ಮತ್ತು ಕ್ಯಾಶ್-ಟೈಮಿಂಗ್ ದಾಳಿಗಳು ಅಥವಾ ಸೈಡ್-ಚಾನೆಲ್ ದಾಳಿಗಳಿಗೆ ಒಳಗಾಗುವುದಿಲ್ಲ.

WordPress 5.2 ಬಿಡುಗಡೆಯಲ್ಲಿ, ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ಪರಿಶೀಲನೆಯು ಪ್ರಸ್ತುತ ಪ್ರಮುಖ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್ ನವೀಕರಣಗಳನ್ನು ಮಾತ್ರ ಒಳಗೊಂಡಿದೆ ಮತ್ತು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನವೀಕರಣವನ್ನು ನಿರ್ಬಂಧಿಸುವುದಿಲ್ಲ, ಆದರೆ ಸಮಸ್ಯೆಯ ಬಗ್ಗೆ ಬಳಕೆದಾರರಿಗೆ ಮಾತ್ರ ತಿಳಿಸುತ್ತದೆ. ಪೂರ್ಣ ತಪಾಸಣೆ ಮತ್ತು ಬೈಪಾಸ್‌ನ ಅಗತ್ಯತೆಯಿಂದಾಗಿ ಡೀಫಾಲ್ಟ್ ಬ್ಲಾಕಿಂಗ್ ಅನ್ನು ತಕ್ಷಣವೇ ಸಕ್ರಿಯಗೊಳಿಸದಿರಲು ನಿರ್ಧರಿಸಲಾಯಿತು ಸಂಭವನೀಯ ಸಮಸ್ಯೆಗಳು. ಭವಿಷ್ಯದಲ್ಲಿ, ಥೀಮ್‌ಗಳು ಮತ್ತು ಪ್ಲಗಿನ್‌ಗಳ ಸ್ಥಾಪನೆಯ ಮೂಲವನ್ನು ಪರಿಶೀಲಿಸಲು ಡಿಜಿಟಲ್ ಸಹಿ ಪರಿಶೀಲನೆಯನ್ನು ಸೇರಿಸಲು ಯೋಜಿಸಲಾಗಿದೆ (ತಯಾರಕರು ತಮ್ಮ ಕೀಲಿಯೊಂದಿಗೆ ಬಿಡುಗಡೆಗಳಿಗೆ ಸಹಿ ಹಾಕಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ).

ವರ್ಡ್ಪ್ರೆಸ್ 5.2 ನಲ್ಲಿ ಡಿಜಿಟಲ್ ಸಹಿಗಳಿಗೆ ಬೆಂಬಲದ ಜೊತೆಗೆ, ಈ ಕೆಳಗಿನ ಬದಲಾವಣೆಗಳನ್ನು ಗಮನಿಸಬಹುದು:

  • ಸಾಮಾನ್ಯ ಕಾನ್ಫಿಗರೇಶನ್ ಸಮಸ್ಯೆಗಳನ್ನು ಡೀಬಗ್ ಮಾಡಲು "ಸೈಟ್ ಹೆಲ್ತ್" ವಿಭಾಗಕ್ಕೆ ಎರಡು ಹೊಸ ಪುಟಗಳನ್ನು ಸೇರಿಸಲಾಗಿದೆ, ಮತ್ತು ಡೆವಲಪರ್‌ಗಳು ಸೈಟ್ ನಿರ್ವಾಹಕರಿಗೆ ಡೀಬಗ್ ಮಾಡುವ ಮಾಹಿತಿಯನ್ನು ಬಿಡಬಹುದಾದ ಫಾರ್ಮ್ ಅನ್ನು ಸಹ ಒದಗಿಸಲಾಗಿದೆ;
  • "ಸಾವಿನ ಬಿಳಿ ಪರದೆಯ" ಅನುಷ್ಠಾನವನ್ನು ಸೇರಿಸಲಾಗಿದೆ, ಮಾರಣಾಂತಿಕ ಸಮಸ್ಯೆಗಳ ಸಂದರ್ಭದಲ್ಲಿ ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ವಿಶೇಷ ಕ್ರ್ಯಾಶ್ ಮರುಪಡೆಯುವಿಕೆ ಮೋಡ್‌ಗೆ ಬದಲಾಯಿಸುವ ಮೂಲಕ ಪ್ಲಗಿನ್‌ಗಳು ಅಥವಾ ಥೀಮ್‌ಗಳಿಗೆ ಸಂಬಂಧಿಸಿದ ಸಮಸ್ಯೆಗಳನ್ನು ಸ್ವತಂತ್ರವಾಗಿ ಪರಿಹರಿಸಲು ನಿರ್ವಾಹಕರಿಗೆ ಸಹಾಯ ಮಾಡುತ್ತದೆ;
  • ಪ್ಲಗಿನ್‌ಗಳೊಂದಿಗೆ ಹೊಂದಾಣಿಕೆಯನ್ನು ಪರಿಶೀಲಿಸುವ ವ್ಯವಸ್ಥೆಯನ್ನು ಅಳವಡಿಸಲಾಗಿದೆ, ಇದು ಪ್ರಸ್ತುತ ಕಾನ್ಫಿಗರೇಶನ್‌ನಲ್ಲಿ ಪ್ಲಗಿನ್ ಅನ್ನು ಬಳಸುವ ಸಾಧ್ಯತೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಪರಿಶೀಲಿಸುತ್ತದೆ, ಬಳಸಿದ PHP ಆವೃತ್ತಿಯನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ. ಪ್ಲಗಿನ್‌ಗೆ ಕೆಲಸ ಮಾಡಲು PHP ಯ ಹೊಸ ಆವೃತ್ತಿಯ ಅಗತ್ಯವಿದ್ದರೆ, ಸಿಸ್ಟಮ್ ಈ ಪ್ಲಗಿನ್‌ನ ಸೇರ್ಪಡೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ನಿರ್ಬಂಧಿಸುತ್ತದೆ;
  • JavaScript ಕೋಡ್ ಬಳಸಿ ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲಾಗಿದೆ ವೆಬ್ಪ್ಯಾಕ್ и ಬಾಬೆಲ್;
  • ಗೌಪ್ಯತೆ ನೀತಿ ಪುಟದ ವಿಷಯವನ್ನು ಕಸ್ಟಮೈಸ್ ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುವ ಹೊಸ ಗೌಪ್ಯತೆ-policy.php ಟೆಂಪ್ಲೇಟ್ ಅನ್ನು ಸೇರಿಸಲಾಗಿದೆ;
  • ಥೀಮ್‌ಗಳಿಗಾಗಿ, wp_body_open ಹುಕ್ ಹ್ಯಾಂಡ್ಲರ್ ಅನ್ನು ಸೇರಿಸಲಾಗಿದೆ, ಇದು ದೇಹ ಟ್ಯಾಗ್ ನಂತರ ತಕ್ಷಣವೇ ಕೋಡ್ ಅನ್ನು ಸೇರಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ;
  • PHP ಯ ಕನಿಷ್ಠ ಆವೃತ್ತಿಯ ಅವಶ್ಯಕತೆಗಳನ್ನು 5.6.20 ಕ್ಕೆ ಹೆಚ್ಚಿಸಲಾಗಿದೆ; ಪ್ಲಗಿನ್‌ಗಳು ಮತ್ತು ಥೀಮ್‌ಗಳು ಈಗ ನೇಮ್‌ಸ್ಪೇಸ್‌ಗಳು ಮತ್ತು ಅನಾಮಧೇಯ ಕಾರ್ಯಗಳನ್ನು ಬಳಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿವೆ;
  • 13 ಹೊಸ ಐಕಾನ್‌ಗಳನ್ನು ಸೇರಿಸಲಾಗಿದೆ.

ಹೆಚ್ಚುವರಿಯಾಗಿ, ನೀವು ನಮೂದಿಸಬಹುದು ಗುರುತಿಸುವಿಕೆ ವರ್ಡ್ಪ್ರೆಸ್ ಪ್ಲಗಿನ್‌ನಲ್ಲಿ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆ WP ಲೈವ್ ಚಾಟ್ (CVE-2019-11185). ದುರ್ಬಲತೆಯು ಸರ್ವರ್‌ನಲ್ಲಿ ಅನಿಯಂತ್ರಿತ PHP ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. IKEA, Adobe, Huawei, PayPal, Tele27 ಮತ್ತು McDonald's ನಂತಹ ಕಂಪನಿಗಳ ಸೈಟ್‌ಗಳನ್ನು ಒಳಗೊಂಡಂತೆ ಸಂದರ್ಶಕರೊಂದಿಗೆ ಸಂವಾದಾತ್ಮಕ ಚಾಟ್ ಅನ್ನು ಸಂಘಟಿಸಲು ಪ್ಲಗಿನ್ ಅನ್ನು 2 ಸಾವಿರಕ್ಕೂ ಹೆಚ್ಚು ಸೈಟ್‌ಗಳಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ (ಲೈವ್ ಚಾಟ್ ಅನ್ನು ಹೆಚ್ಚಾಗಿ ಪಾಪ್-ಅಪ್ ಕಿರಿಕಿರಿಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಆಫರ್‌ಗಳೊಂದಿಗೆ ಕಂಪನಿಯ ಸೈಟ್‌ಗಳಲ್ಲಿ ಚಾಟ್‌ಗಳು ಉದ್ಯೋಗಿಯೊಂದಿಗೆ ಚಾಟ್ ಮಾಡಿ).

ಸಮಸ್ಯೆಯು ಸರ್ವರ್‌ಗೆ ಫೈಲ್‌ಗಳನ್ನು ಅಪ್‌ಲೋಡ್ ಮಾಡುವ ಕೋಡ್‌ನಲ್ಲಿ ಸ್ವತಃ ಸ್ಪಷ್ಟವಾಗಿ ಗೋಚರಿಸುತ್ತದೆ ಮತ್ತು ಮಾನ್ಯವಾದ ಫೈಲ್ ಪ್ರಕಾರಗಳ ಪರಿಶೀಲನೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಮತ್ತು ಸರ್ವರ್‌ಗೆ PHP ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಅಪ್‌ಲೋಡ್ ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ ಮತ್ತು ನಂತರ ಅದನ್ನು ನೇರವಾಗಿ ವೆಬ್ ಮೂಲಕ ಕಾರ್ಯಗತಗೊಳಿಸಿ. ಕುತೂಹಲಕಾರಿಯಾಗಿ, ಕಳೆದ ವರ್ಷ ಇದೇ ರೀತಿಯ ದುರ್ಬಲತೆಯನ್ನು ಲೈವ್ ಚಾಟ್‌ನಲ್ಲಿ (CVE-2018-12426) ಗುರುತಿಸಲಾಗಿದೆ, ಇದು ಕಂಟೆಂಟ್-ಟೈಪ್ ಫೀಲ್ಡ್‌ನಲ್ಲಿ ವಿಭಿನ್ನ ವಿಷಯ ಪ್ರಕಾರವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವ ಚಿತ್ರದ ನೆಪದಲ್ಲಿ PHP ಕೋಡ್ ಅನ್ನು ಲೋಡ್ ಮಾಡಲು ಅನುಮತಿಸಿದೆ. ಸರಿಪಡಿಸುವಿಕೆಯ ಭಾಗವಾಗಿ, ಶ್ವೇತಪಟ್ಟಿಗಳು ಮತ್ತು MIME ವಿಷಯ ಪ್ರಕಾರಕ್ಕಾಗಿ ಹೆಚ್ಚುವರಿ ಪರಿಶೀಲನೆಗಳನ್ನು ಸೇರಿಸಲಾಗಿದೆ. ಅದು ಬದಲಾದಂತೆ, ಈ ತಪಾಸಣೆಗಳನ್ನು ತಪ್ಪಾಗಿ ಅಳವಡಿಸಲಾಗಿದೆ ಮತ್ತು ಸುಲಭವಾಗಿ ಬೈಪಾಸ್ ಮಾಡಬಹುದು.

ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವುದಾದರೆ, “.php” ವಿಸ್ತರಣೆಯೊಂದಿಗೆ ಫೈಲ್‌ಗಳ ನೇರ ಅಪ್‌ಲೋಡ್ ಮಾಡುವುದನ್ನು ನಿಷೇಧಿಸಲಾಗಿದೆ, ಆದರೆ ಅನೇಕ ಸರ್ವರ್‌ಗಳಲ್ಲಿ PHP ಇಂಟರ್ಪ್ರಿಟರ್‌ನೊಂದಿಗೆ ಸಂಯೋಜಿತವಾಗಿರುವ “.phtml” ವಿಸ್ತರಣೆಯನ್ನು ಕಪ್ಪುಪಟ್ಟಿಗೆ ಸೇರಿಸಲಾಗಿಲ್ಲ. ಶ್ವೇತಪಟ್ಟಿಯು ಇಮೇಜ್ ಅಪ್‌ಲೋಡ್‌ಗಳನ್ನು ಮಾತ್ರ ಅನುಮತಿಸುತ್ತದೆ, ಆದರೆ ಡಬಲ್ ವಿಸ್ತರಣೆಯನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವ ಮೂಲಕ ನೀವು ಅದನ್ನು ಬೈಪಾಸ್ ಮಾಡಬಹುದು, ಉದಾಹರಣೆಗೆ, ".gif.phtml". ಫೈಲ್‌ನ ಪ್ರಾರಂಭದಲ್ಲಿ MIME ಪ್ರಕಾರದ ಪರಿಶೀಲನೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು, PHP ಕೋಡ್‌ನೊಂದಿಗೆ ಟ್ಯಾಗ್ ತೆರೆಯುವ ಮೊದಲು, "GIF89a" ಸಾಲನ್ನು ಸೂಚಿಸಲು ಸಾಕು.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ