Verëffentlechung vum Web Inhalt Management System . D'Verëffentlechung ass bemierkenswäert fir seng Fäerdegstellung op Ëmsetzung Iwwerpréift Aktualiséierungen an Ergänzunge mat enger digitaler Ënnerschrëft.
Bis elo, wann Dir Updates op WordPress installéiert, war den Haapt Sécherheetsfaktor Vertrauen an d'WordPress Infrastruktur a Serveren (nom Download gouf den Hash gepréift ouni d'Quell ze verifizéieren). Wann d'Servere vum Projet kompromittéiert goufen, konnten d'Ugräifer en Update spoofen a béiswëlleg Code ënner WordPress-baséiert Siten verdeelen, déi en automateschen Update-Installatiounssystem benotzen. Am Aklang mam virdru benotzte Vertrauensliwwerungsmodell wier esou eng Ersatz op der Säit vun de Benotzer onopgemerkt gewiescht.
Bedenkt der Tatsaach, datt vum w3techs-Projet gëtt d'WordPress Plattform op 33.8% vun de Siten am Netz benotzt, de Virfall hätt op d'Skala vun enger Katastroph geholl. Zur selwechter Zäit war d'Gefor vum Infrastrukturkompromëss net hypothetesch, awer ganz reell. Zum Beispill virun e puer Joer ee vun de Sécherheetsfuerscher eng Schwachstelle, déi en Ugräifer erlaabt huet säi Code op der Serversäit vun api.wordpress.org auszeféieren.
Am Fall vun digitalen Ënnerschrëften, d'Kontroll iwwer den Update-Verdeelungsserver ze kréien, féiert net zu Kompromëss vu Benotzersystemer, well fir en Attack auszeféieren, musst Dir zousätzlech e separat gespäichert private Schlëssel kréien, mat deem Updates ënnerschriwwe ginn.
D'Ëmsetzung vun der Iwwerpréiwung vun der Quell vun Aktualiséierungen mat enger digitaler Ënnerschrëft gouf behënnert vun der Tatsaach, datt d'Ënnerstëtzung fir déi néideg kryptografesch Algorithmen am Standard PHP Package relativ viru kuerzem erschéngt. Déi néideg kryptographesch Algorithmen erschéngen dank der Integratioun vun der Bibliothéik an d'Haaptequipe . Awer als minimal ënnerstëtzt Versioun vu PHP a WordPress Verëffentlechung 5.2.4 (vu WordPress 5.2 - 5.6.20). D'Ënnerstëtzung fir digital Ënnerschrëften z'erméiglechen géif zu enger erheblecher Erhéijung vun den Ufuerderunge fir déi minimal ënnerstëtzt Versioun vu PHP oder der Zousatz vun enger externer Ofhängegkeet féieren, wat d'Entwéckler net mat der Prävalenz vu PHP Versiounen an Hostingsystemer maache kënnen.
D'Léisung war an d'Inklusioun vun enger kompakter Versioun vu Libsodium am WordPress 5.2 - , an deem e Minimum Satz vun Algorithmen fir d'Verifizéierung vun digitale Ënnerschrëften an PHP implementéiert gëtt. D'Ëmsetzung léisst vill ze wënschen wat d'Performance ugeet, awer léist de Kompatibilitéitsproblem komplett, an erlaabt och Plugin Entwéckler fir modern kryptografesch Algorithmen ëmzesetzen.
En Algorithmus gëtt benotzt fir digital Ënnerschrëften ze generéieren , entwéckelt mat der Participatioun vum Daniel J. Bernstein. Eng digital Ënnerschrëft gëtt generéiert fir den SHA384 Hash-Wäert berechent aus dem Inhalt vum Updatearchiv. Ed25519 huet e méi héije Sécherheetsniveau wéi ECDSA an DSA, a weist ganz héich Geschwindegkeet vun der Verifizéierung an der Ënnerschrëftkreatioun. D'Resistenz géint Hacking fir Ed25519 ass ongeféier 2^128 (am Duerchschnëtt, en Attack op Ed25519 erfuerdert 2^140 Bit Operatiounen), wat der Resistenz vun Algorithmen wéi NIST P-256 an RSA mat enger Schlësselgréisst vun 3000 Bits entsprécht. oder 128-Bit Block Chiffer. Ed25519 ass och net ufälleg fir Probleemer mat Hashkollisiounen, an ass net ufälleg fir Cache-Timing Attacken oder Side-Channel Attacken.
An der WordPress 5.2 Verëffentlechung, digital Ënnerschrëft Verifizéierung deckt momentan nëmme grouss Plattformupdates a blockéiert d'Aktualiséierung net par défaut, awer informéiert nëmmen de Benotzer iwwer de Problem. Et gouf decidéiert d'Default-Blockéierung net direkt z'aktivéieren wéinst der Bedierfnes fir eng voll Kontroll a Contournement . An Zukunft ass et och geplangt fir d'Verifizéierung vun der digitaler Ënnerschrëft ze addéieren fir d'Quell vun der Installatioun vun Themen a Plugins ze verifizéieren (Fabrikanten kënnen Releases mat hirem Schlëssel ënnerschreiwen).
Zousätzlech zu der Ënnerstëtzung fir digital Ënnerschrëften am WordPress 5.2, kënnen déi folgend Ännerungen bemierkt ginn:
- Zwou nei Säiten goufen an der Rubrik "Site Gesondheet" fir Debugging gemeinsam Configuratioun Problemer dobäi ginn, an e Formulaire gouf och duerch déi Entwéckler Debugging Informatiounen ze Site Administrateuren verloossen;
- Zousätzlech Implementatioun vum "wäiss Écran vum Doud", ugewisen am Fall vu fatale Probleemer an hëlleft dem Administrateur onofhängeg Probleemer am Zesummenhang mat Plugins oder Themen ze fixéieren andeems Dir op e speziellen Crash Recovery Modus wiesselt;
- E System fir d'Kompatibilitéit mat Plugins z'iwwerpréiwen gouf implementéiert, deen automatesch d'Méiglechkeet iwwerpréift fir de Plugin an der aktueller Konfiguratioun ze benotzen, andeems d'Versioun vu PHP benotzt gëtt. Wann e Plugin eng méi nei Versioun vu PHP erfuerdert fir ze schaffen, blockéiert de System automatesch d'Inklusioun vun dësem Plugin;
- Zousätzlech Ënnerstëtzung fir Moduler mat JavaScript Code z'aktivéieren и ;
- Eng nei Privacy-policy.php Schabloun dobäigesat, déi Iech erlaabt den Inhalt vun der Dateschutzpolitik Säit ze personaliséieren;
- Fir Themen ass e wp_body_open Hook Handler bäigefüügt ginn, wat Iech erlaabt de Code direkt no der Body Tag anzeginn;
- Ufuerderunge fir d'Mindestversioun vu PHP goufen op 5.6.20 eropgesat; Plugins an Themen hunn elo d'Fäegkeet fir Nummraim an anonyme Funktiounen ze benotzen;
- 13 nei Ikonen dobäigesat.
Zousätzlech kënnt Dir ernimmen kritesch Schwachstelle am WordPress Plugin (CVE-2019-11185). D'Vulnerabilitéit erlaabt arbiträr PHP Code um Server auszeféieren. De Plugin gëtt op méi wéi 27 Tausend Site benotzt fir en interaktiven Chat mat engem Besucher ze organiséieren, och op de Site vu Firmen wéi IKEA, Adobe, Huawei, PayPal, Tele2 a McDonald's (Live Chat gëtt dacks benotzt fir Pop-up lästeg ëmzesetzen Chat op Firmeplazen mat Offeren Chat mam Employé).
De Problem manifestéiert sech am Code fir Dateien op de Server eropzelueden an erlaabt Iech d'Kontroll vu gültege Dateitypen ëmzegoen an e PHP Skript op de Server eropzelueden, an dann direkt iwwer de Web auszeféieren. Interessanterweis gouf d'lescht Joer eng ähnlech Schwachstelle schonn am Live Chat (CVE-2018-12426) identifizéiert, wat erlaabt de PHP-Code ënner dem Deckmantel vun engem Bild ze lueden, an eng aner Inhaltstyp am Inhalt-Typ Feld spezifizéieren. Als Deel vun der Fix goufen zousätzlech Kontrollen fir Whitelists a MIME Inhaltstyp bäigefüügt. Wéi et sech erausstellt, ginn dës Kontrollen falsch ëmgesat a kënne ganz einfach ëmgoen.
Besonnesch den direkten Eroplueden vu Dateien mat der Extensioun ".php" ass verbueden, awer d'Extensioun ".phtml", déi op ville Serveren mam PHP-Interpreter assoziéiert ass, gouf net op d'Schwaarzlëscht bäigefüügt. D'Whitelist erlaabt nëmme Bildoplueden, awer Dir kënnt et ëmgoen andeems Dir eng duebel Extensioun spezifizéiert, zum Beispill ".gif.phtml". Fir den MIME-Typ Check am Ufank vun der Datei z'iwwergoen, ier Dir den Tag mat PHP Code opmaacht, war et genuch fir d'Linn "GIF89a" ze spezifizéieren.
Source: opennet.ru