디지털 서명을 통한 업데이트 확인을 지원하는 WordPress 5.2 출시

도입 웹 콘텐츠 관리 시스템 출시 워드 프레스 5.2. 이번 출시는 완성도가 주목할 만하다 XNUMX년 간의 서사시 구현 중 기회 디지털 서명을 사용하여 업데이트 및 추가 사항을 확인합니다.

지금까지 WordPress에 업데이트를 설치할 때 주요 보안 요소는 WordPress 인프라 및 서버에 대한 신뢰였습니다(다운로드 후에는 소스 확인 없이 해시만 확인했습니다). 프로젝트 서버가 손상되면 공격자는 업데이트를 스푸핑하고 자동 업데이트 설치 시스템을 사용하는 WordPress 기반 사이트에 악성 코드를 배포할 수 있었습니다. 이전에 사용된 신뢰 전달 모델에 따르면 이러한 대체는 사용자 측에서 눈에 띄지 않게 됩니다.

이라는 사실을 고려하면 에 따르면 w3techs 프로젝트 중 WordPress 플랫폼이 네트워크 사이트의 33.8%에서 사용되고 있다면 이 사건은 재난 규모에 달할 것입니다. 동시에 인프라 손상의 위험은 가상이 아니라 매우 현실적이었습니다. 예를 들어, 몇 년 전 보안 연구원 중 한 명이 시연 공격자가 api.wordpress.org의 서버측에서 자신의 코드를 실행할 수 있게 해주는 취약점입니다.

디지털 서명의 경우 업데이트 배포 서버에 대한 제어권을 획득해도 사용자 시스템이 손상되지 않습니다. 공격을 수행하려면 업데이트가 서명되는 별도로 저장된 개인 키를 추가로 얻어야 ​​하기 때문입니다.

디지털 서명을 사용하여 업데이트 소스를 확인하는 구현은 필요한 암호화 알고리즘에 대한 지원이 비교적 최근에 표준 PHP 패키지에 등장했다는 사실로 인해 방해를 받았습니다. 라이브러리 통합 덕분에 필요한 암호화 알고리즘이 나타났습니다. 리브나트륨 메인팀에 PHP 7.2. 하지만 WordPress에서 지원되는 최소 PHP 버전으로 정해진 릴리스 5.2.4(WordPress 5.2 - 5.6.20) 디지털 서명에 대한 지원을 활성화하면 최소 지원 PHP 버전에 대한 요구 사항이 크게 증가하거나 외부 종속성이 추가됩니다. 이는 호스팅 시스템에서 널리 사용되는 PHP 버전을 고려할 때 개발자가 수행할 수 없는 작업입니다.

해결책은 다음과 같습니다. 개발 WordPress 5.2에 Libsodium의 컴팩트 버전이 포함되었습니다. 나트륨 호환, 디지털 서명을 확인하기 위한 최소 알고리즘 세트가 PHP로 구현됩니다. 구현은 성능 측면에서 아쉬운 점이 많지만 호환성 문제를 완전히 해결하고 플러그인 개발자가 최신 암호화 알고리즘 구현을 시작할 수 있게 해줍니다.

디지털 서명을 생성하는 데 알고리즘이 사용됩니다. Ed25519, Daniel J. Bernstein의 참여로 개발되었습니다. 업데이트 아카이브의 콘텐츠에서 계산된 SHA384 해시 값에 대해 디지털 서명이 생성됩니다. Ed25519는 ECDSA, DSA보다 보안 수준이 높으며 매우 빠른 확인 및 서명 생성 속도를 보여줍니다. Ed25519의 해킹 저항은 약 2^128입니다(평균적으로 Ed25519에 대한 공격에는 2^140비트 작업이 필요함). 이는 키 크기가 256비트인 NIST P-3000 및 RSA와 같은 알고리즘의 저항에 해당합니다. 또는 128비트 블록 암호. Ed25519는 또한 해시 충돌 문제에 취약하지 않으며 캐시 타이밍 공격이나 부채널 공격에도 취약하지 않습니다.

WordPress 5.2 릴리스에서 디지털 서명 확인은 현재 주요 플랫폼 업데이트에만 적용되며 기본적으로 업데이트를 차단하지 않고 사용자에게 문제에 대해서만 알려줍니다. 전체 점검 및 우회가 필요하여 기본 차단을 즉시 활성화하지 않기로 결정했습니다. 가능한 문제. 향후에는 테마 및 플러그인 설치 소스를 확인하기 위해 디지털 서명 확인 기능을 추가할 계획입니다(제조업체는 해당 키를 사용하여 릴리스에 서명할 수 있습니다).

WordPress 5.2의 디지털 서명 지원 외에도 다음과 같은 변경 사항이 있습니다.

• 일반적인 구성 문제를 디버깅하기 위해 "사이트 상태" 섹션에 두 개의 새로운 페이지가 추가되었으며, 개발자가 사이트 관리자에게 디버깅 정보를 남길 수 있는 양식도 제공되었습니다.
• 치명적인 문제가 있는 경우 표시되고 관리자가 특수 충돌 복구 모드로 전환하여 플러그인이나 테마와 관련된 문제를 독립적으로 해결할 수 있도록 돕는 "죽음의 흰색 화면" 구현이 추가되었습니다.
• 사용되는 PHP 버전을 고려하여 현재 구성에서 플러그인을 사용할 가능성을 자동으로 확인하는 플러그인 호환성 확인 시스템이 구현되었습니다. 플러그인이 작동하기 위해 최신 버전의 PHP가 필요한 경우 시스템은 자동으로 이 플러그인의 포함을 차단합니다.
• 다음을 사용하여 JavaScript 코드로 모듈을 활성화하기 위한 지원이 추가되었습니다. 웹팩 и 바벨;
• 개인 정보 보호 정책 페이지의 콘텐츠를 사용자 정의할 수 있는 새로운 Privacy-policy.php 템플릿을 추가했습니다.
• 테마의 경우 wp_body_open 후크 핸들러가 추가되어 body 태그 바로 뒤에 코드를 삽입할 수 있습니다.
• 최소 PHP 버전에 대한 요구 사항이 5.6.20으로 상향 조정되었으며 이제 플러그인과 테마에서 네임스페이스와 익명 함수를 사용할 수 있습니다.
• 13개의 새로운 아이콘이 추가되었습니다.

추가적으로 언급할 수 있는 것은 발각 WordPress 플러그인의 심각한 취약점 WP 라이브 채팅 (CVE-2019-11185). 이 취약점으로 인해 임의의 PHP 코드가 서버에서 실행될 수 있습니다. 플러그인은 IKEA, Adobe, Huawei, PayPal, Tele27 및 McDonald's와 같은 회사 사이트를 포함하여 방문자와의 대화형 채팅을 구성하기 위해 2개 이상의 사이트에서 사용됩니다(라이브 채팅은 종종 짜증나는 팝업을 구현하는 데 사용됩니다). 직원과의 채팅 제안이 포함된 회사 사이트의 채팅).

문제는 서버에 파일을 업로드하는 코드에서 나타나며 유효한 파일 형식 확인을 우회하고 PHP 스크립트를 서버에 업로드한 다음 웹을 통해 직접 실행할 수 있습니다. 흥미롭게도 작년에 라이브 채팅(CVE-2018-12426)에서 유사한 취약점이 이미 확인되었습니다. 이 취약점은 콘텐츠 유형 필드에 다른 콘텐츠 유형을 지정하여 이미지로 가장하여 PHP 코드를 로드할 수 있도록 허용했습니다. 수정의 일부로 화이트리스트 및 MIME 콘텐츠 유형에 대한 추가 검사가 추가되었습니다. 결과적으로 이러한 검사는 잘못 구현되어 쉽게 우회될 수 있습니다.

특히 확장자가 '.php'인 파일을 직접 업로드하는 것은 금지되어 있지만, 많은 서버에서 PHP 인터프리터와 연결되어 있는 '.phtml' 확장자는 블랙리스트에 추가되지 않았습니다. 화이트리스트는 이미지 업로드만 허용하지만 ".gif.phtml"과 같은 이중 확장자를 지정하여 이를 우회할 수 있습니다. 파일 시작 부분에서 MIME 유형 검사를 우회하려면 PHP 코드로 태그를 열기 전에 "GIF89a" 줄을 지정하는 것으로 충분했습니다.

출처 : opennet.ru