ဝဘ်အကြောင်းအရာစီမံခန့်ခွဲမှုစနစ်အား ထုတ်ပြန်ခြင်း။ . ၎င်း၏ ပြီးစီးမှုအတွက် ထုတ်ဝေမှုသည် မှတ်သားဖွယ်ကောင်းသည်။ အကောင်အထည်ဖော်မှုအပေါ် ဒစ်ဂျစ်တယ်လက်မှတ်ကို အသုံးပြု၍ အပ်ဒိတ်များနှင့် ထပ်လောင်းများကို စစ်ဆေးခြင်း။
ယခုအချိန်အထိ WordPress တွင် အပ်ဒိတ်များကို ထည့်သွင်းသည့်အခါ အဓိက လုံခြုံရေးအချက်မှာ WordPress အခြေခံအဆောက်အအုံနှင့် ဆာဗာများတွင် ယုံကြည်ခြင်းဖြစ်သည် (ဒေါင်းလုဒ်လုပ်ပြီးနောက်၊ အရင်းအမြစ်ကို အတည်ပြုခြင်းမရှိဘဲ hash ကို စစ်ဆေးထားသည်)။ ပရောဂျက်၏ဆာဗာများ အပေးအယူခံရပါက၊ တိုက်ခိုက်သူများသည် အပ်ဒိတ်တစ်ခုကို အတုအယောင်လုပ်ပြီး အလိုအလျောက်အပ်ဒိတ်တပ်ဆင်မှုစနစ်ကို အသုံးပြုသည့် WordPress အခြေခံဆိုက်များကြားတွင် အန္တရာယ်ရှိသောကုဒ်များကို ဖြန့်ဝေနိုင်ကြသည်။ ယခင်က အသုံးပြုခဲ့သည့် ယုံကြည်စိတ်ချရသော ပေးပို့မှုပုံစံနှင့်အညီ၊ ထိုသို့သော အစားထိုးမှုသည် သုံးစွဲသူများဘက်မှ သတိမပြုမိတော့ပါ။
ထိုအချက်ကိုထည့်သွင်းစဉ်းစား w3techs ပရောဂျက်၏ WordPress ပလပ်ဖောင်းကို ကွန်ရက်ပေါ်ရှိ ဆိုက်များ၏ 33.8% တွင် အသုံးပြုသည်၊ အဖြစ်အပျက်သည် ဘေးအန္တရာယ်တစ်ခု၏အတိုင်းအတာအထိ ဖြစ်လာမည်ဖြစ်သည်။ တစ်ချိန်တည်းမှာပင်၊ အခြေခံအဆောက်အအုံဆိုင်ရာ အပေးအယူလုပ်ခြင်း၏ အန္တရာယ်သည် စိတ်ကူးယဉ်မဟုတ်သော်လည်း မှန်ကန်သည်။ ဥပမာအားဖြင့်၊ လွန်ခဲ့သောနှစ်ပေါင်းများစွာက လုံခြုံရေးသုတေသီတစ်ဦး တိုက်ခိုက်သူအား api.wordpress.org ၏ဆာဗာဘက်ခြမ်းရှိ ၎င်း၏ကုဒ်ကို လုပ်ဆောင်ရန် ခွင့်ပြုသည့် အားနည်းချက်တစ်ခု။
ဒစ်ဂျစ်တယ် လက်မှတ်များကို အသုံးပြုပါက၊ အပ်ဒိတ်ဖြန့်ချီရေးဆာဗာအပေါ် ထိန်းချုပ်မှုရရှိခြင်းသည် တိုက်ခိုက်မှုတစ်ခုပြုလုပ်ရန်အတွက် အပ်ဒိတ်များကို လက်မှတ်ရေးထိုးရန် အသုံးပြုသည့် သီးခြားသိမ်းဆည်းထားသော သီးသန့်သော့ကို ထပ်မံရယူထားရမည်ဖြစ်ပြီး၊
ဒစ်ဂျစ်တယ်လက်မှတ်ကို အသုံးပြု၍ အပ်ဒိတ်များ၏ရင်းမြစ်ကို စစ်ဆေးခြင်း အကောင်အထည်ဖော်မှုသည် မကြာသေးမီက standard PHP package တွင် လိုအပ်သော cryptographic algorithms များအတွက် ပံ့ပိုးကူညီမှုဖြင့် အတားအဆီးဖြစ်စေခဲ့သည်။ စာကြည့်တိုက်၏ ပေါင်းစည်းမှုကြောင့် လိုအပ်သော ကုဒ်ဝှက်စနစ် အယ်လဂိုရီသမ်များ ပေါ်လာသည်။ အဓိကအသင်းသို့ . သို့သော် WordPress တွင် PHP ၏ အနိမ့်ဆုံးပံ့ပိုးထားသောဗားရှင်းအဖြစ် 5.2.4 ( WordPress 5.2 မှ 5.6.20 ) ကို ထုတ်ဝေသည်။ ဒစ်ဂျစ်တယ်လက်မှတ်များအတွက် ပံ့ပိုးမှုဖွင့်ခြင်းသည် PHP ၏ အနိမ့်ဆုံးပံ့ပိုးထားသောဗားရှင်းအတွက် လိုအပ်ချက်များ သို့မဟုတ် ပြင်ပမှီခိုမှုတစ်ခု ထပ်တိုးခြင်းအတွက် developer များက hosting စနစ်များတွင် PHP ဗားရှင်းများအဖြစ်များနေခြင်းကို မလုပ်ဆောင်နိုင်သည့်အတွက် လိုအပ်ချက်များကို သိသိသာသာတိုးလာစေမည်ဖြစ်သည်။
အဖြေရှာခဲ့တာ WordPress 5.2 တွင် Libsodium ၏ ကျစ်ကျစ်လျစ်လျစ်သော ဗားရှင်းတစ်ခုပါဝင်ခြင်း - PHP တွင် ဒစ်ဂျစ်တယ် လက်မှတ်များ အတည်ပြုခြင်းအတွက် အနည်းဆုံး အယ်လဂိုရီသမ် အစုံကို လုပ်ဆောင်သည်။ အကောင်အထည်ဖော်မှုသည် စွမ်းဆောင်ရည်ပိုင်းအရ များစွာအလိုရှိသည်၊ သို့သော် လိုက်ဖက်ညီမှုပြဿနာကို အပြည့်အဝဖြေရှင်းပေးသည့်အပြင် plugin developer များအား ခေတ်မီ cryptographic algorithms များကို စတင်အကောင်အထည်ဖော်နိုင်စေပါသည်။
ဒစ်ဂျစ်တယ် လက်မှတ်များ ထုတ်လုပ်ရန် အယ်လဂိုရီသမ်ကို အသုံးပြုသည်။ Daniel J. Bernstein ၏ ပါဝင်မှုဖြင့် တီထွင်ခဲ့သည်။ အပ်ဒိတ်မှတ်တမ်း၏ အကြောင်းအရာများမှ တွက်ချက်ထားသော SHA384 hash တန်ဖိုးအတွက် ဒစ်ဂျစ်တယ်လက်မှတ်ကို ထုတ်ပေးပါသည်။ Ed25519 သည် ECDSA နှင့် DSA ထက် လုံခြုံရေးအဆင့်မြင့်မားပြီး အတည်ပြုခြင်းနှင့် လက်မှတ်ဖန်တီးခြင်း၏ အလွန်အရှိန်အဟုန်မြင့်မားကြောင်း ပြသသည်။ Ed25519 အတွက် ဟက်ကာခံနိုင်ရည်မှာ 2^128 ခန့် (ပျမ်းမျှအားဖြင့်၊ Ed25519 တွင် တိုက်ခိုက်မှုတစ်ခုသည် 2^140 ဘစ်လုပ်ဆောင်မှုများ လိုအပ်လိမ့်မည်)၊ NIST P-256 နှင့် RSA ကဲ့သို့သော သော့အရွယ်အစား 3000 bits ကဲ့သို့သော အယ်လဂိုရီသမ်များ၏ ခုခံမှုနှင့် ကိုက်ညီသည့် သို့မဟုတ် 128-bit block cipher။ Ed25519 သည် hash collisions များနှင့်အတူ ပြဿနာများကို ခံနိုင်ရည်မရှိသည့်အပြင် cache-time attacks နှင့် side-channel attacks များအတွက် အထိမခံနိုင်ပါ။
WordPress 5.2 ထုတ်ဝေမှုတွင်၊ ဒစ်ဂျစ်တယ်လက်မှတ်အတည်ပြုခြင်းသည် လက်ရှိတွင် အဓိကပလက်ဖောင်းအပ်ဒိတ်များကိုသာ အကျုံးဝင်ပြီး အပ်ဒိတ်ကို မူရင်းအတိုင်း မပိတ်ဆို့ထားဘဲ ပြဿနာအကြောင်းကို အသုံးပြုသူကိုသာ အသိပေးသည်။ အပြည့်အစုံ စစ်ဆေးပြီး ကျော်လွှားရန် လိုအပ်သောကြောင့် ပုံသေပိတ်ဆို့ခြင်းကို ချက်ချင်းမဖွင့်ရန် ဆုံးဖြတ်ခဲ့သည်။ . အနာဂတ်တွင်၊ အပြင်အဆင်များနှင့် ပလပ်အင်များ တပ်ဆင်ခြင်း၏ရင်းမြစ်ကို အတည်ပြုရန်အတွက် ဒစ်ဂျစ်တယ်လက်မှတ်အတည်ပြုခြင်းကိုလည်း ထည့်သွင်းရန် စီစဉ်ထားသည် (ထုတ်လုပ်သူများသည် ၎င်းတို့၏သော့ဖြင့် ထုတ်ဝေမှုများကို လက်မှတ်ထိုးနိုင်ပါမည်)။
WordPress 5.2 ရှိ ဒစ်ဂျစ်တယ် လက်မှတ်များအတွက် ပံ့ပိုးမှုအပြင်၊ အောက်ပါ အပြောင်းအလဲများကို မှတ်သားနိုင်သည်-
- စာမျက်နှာအသစ်နှစ်ခုကို "ဆိုက်ကျန်းမာရေး" ကဏ္ဍတွင် အမှားရှာပြင်ဆင်ခြင်းဆိုင်ရာ ပြဿနာများကို အမှားရှာခြင်းအတွက် စာမျက်နှာသစ်နှစ်ခုကို ထည့်သွင်းထားပြီး၊ ဆော့ဖ်ဝဲအင်ဂျင်နီယာများသည် ဆိုက်စီမံခန့်ခွဲသူများထံ အမှားရှာပြင်ဆင်ခြင်းဆိုင်ရာ အချက်အလက်များကို ချန်ထားခဲ့နိုင်သည့် ဖောင်တစ်ခုကိုလည်း ထည့်သွင်းထားပါသည်။
- ဆိုးရွားသောပြဿနာများအတွင်းပြသထားပြီး၊ အထူးပျက်စီးမှုပြန်လည်ရယူရေးမုဒ်သို့ပြောင်းခြင်းဖြင့် အက်ဒမင်သည် ပလပ်အင်များ သို့မဟုတ် အပြင်အဆင်များနှင့်သက်ဆိုင်သည့်ပြဿနာများကို လွတ်လပ်စွာဖြေရှင်းနိုင်ရန် စီမံခန့်ခွဲသူကိုကူညီပေးသည့် "သေခြင်း၏အဖြူရောင်ဖန်သားပြင်" ကို ထပ်လောင်းထည့်သွင်းထားသည်။
- PHP အသုံးပြုထားသောဗားရှင်းကိုထည့်သွင်းကာ လက်ရှိဖွဲ့စည်းပုံတွင် ပလပ်အင်အသုံးပြုခြင်း ဖြစ်နိုင်ခြေကို အလိုအလျောက်စစ်ဆေးပေးသည့် plugins များနှင့် လိုက်ဖက်ညီမှုကို စစ်ဆေးသည့်စနစ်တစ်ခုကို အကောင်အထည်ဖော်ခဲ့သည်။ ပလပ်အင်တစ်ခု အလုပ်လုပ်ရန် PHP ၏ ဗားရှင်းအသစ်ကို လိုအပ်ပါက၊ စနစ်သည် ဤ plugin ၏ ပါဝင်မှုကို အလိုအလျောက် ပိတ်ဆို့ပါမည်။
- JavaScript ကုဒ်ကို အသုံးပြု၍ modules များကိုဖွင့်ရန်အတွက် ပံ့ပိုးမှု ပေါင်းထည့်ထားသည်။ и ;
- privacy-policy.php နမူနာပုံစံအသစ်ကို privacy-policy.php တွင်ထည့်သွင်းထားပြီး privacy policy page ၏ content ကိုစိတ်ကြိုက်ပြင်ဆင်နိုင်သည်;
- အပြင်အဆင်များအတွက်၊ wp_body_open ချိတ်လက်ကိုင်ကို ပေါင်းထည့်ထားပြီး၊ သင်သည် ခန္ဓာကိုယ် tag ပြီးနောက် ကုဒ်ကို ချက်ချင်းထည့်သွင်းနိုင်စေမည်ဖြစ်သည်။
- PHP ၏ အနိမ့်ဆုံးဗားရှင်းအတွက် လိုအပ်ချက်များကို 5.6.20 သို့ မြှင့်တင်ထားပြီး၊ ယခုအခါ ပလပ်အင်များနှင့် အပြင်အဆင်များသည် namespaces နှင့် အမည်မသိလုပ်ဆောင်ချက်များကို သုံးနိုင်ပြီဖြစ်သည်။
- အိုင်ကွန်အသစ် 13 ခု ထပ်ထည့်ထားသည်။
ထို့အပြင်၊ သင်ဖော်ပြနိုင်သည်။ WordPress plugin တွင် အရေးကြီးသော အားနည်းချက် (CVE-2019-11185)။ အားနည်းချက်သည် မထင်မှတ်ထားသော PHP ကုဒ်ကို ဆာဗာပေါ်တွင် လုပ်ဆောင်နိုင်စေပါသည်။ IKEA၊ Adobe၊ Huawei၊ PayPal၊ Tele27 နှင့် McDonald's ကဲ့သို့သော ကုမ္ပဏီများ၏ ဝဘ်ဆိုက်များတွင် အပါအဝင် ဧည့်သည်တစ်ဦးနှင့် အပြန်အလှန်စကားပြောဆိုရန် ဆိုဒ်ပေါင်း 2 ကျော်တွင် အသုံးပြုသည် (Live Chat ကို မကြာခဏဆိုသလို ပေါ့ပ်အပ်ကို စိတ်အနှောင့်အယှက်ဖြစ်စေရန် အသုံးပြုပါသည်။ ဝန်ထမ်းနှင့် ကမ်းလှမ်းချက်ဖြင့် ကုမ္ပဏီဆိုက်များတွင် ချတ်လုပ်ခြင်း)။
ပြဿနာသည် ဆာဗာသို့ ဖိုင်များတင်ခြင်းအတွက် ကုဒ်တွင် ပေါ်လာပြီး တရားဝင်ဖိုင်အမျိုးအစားများ၏ စစ်ဆေးမှုကို ကျော်ဖြတ်ကာ ဆာဗာသို့ PHP script ကို အပ်လုဒ်လုပ်ပြီးနောက် ၎င်းကို ဝဘ်မှတစ်ဆင့် တိုက်ရိုက်လုပ်ဆောင်နိုင်သည်။ စိတ်ဝင်စားစရာကောင်းသည်မှာ၊ ပြီးခဲ့သည့်နှစ်တွင် အလားတူအားနည်းချက်ကို Live Chat (CVE-2018-12426) တွင် တွေ့ရှိခဲ့ပြီး၊ အကြောင်းအရာအမျိုးအစားအကွက်တွင် မတူညီသောအကြောင်းအရာအမျိုးအစားကို ပုံတစ်ပုံအောက်တွင် PHP ကုဒ်ကိုတင်ခွင့်ပြုခဲ့သည်။ ပြုပြင်မှု၏တစ်စိတ်တစ်ပိုင်းအနေဖြင့်၊ ခွင့်ပြုထားသောစာရင်းများနှင့် MIME အကြောင်းအရာအမျိုးအစားအတွက် နောက်ထပ်စစ်ဆေးမှုများကို ထည့်သွင်းထားသည်။ ထွက်ပေါ်လာသည့်အတိုင်း ဤစစ်ဆေးမှုများကို မှားယွင်းစွာလုပ်ဆောင်ပြီး အလွယ်တကူ ကျော်ဖြတ်နိုင်သည်။
အထူးသဖြင့်၊ “.php” တိုးချဲ့မှုဖြင့် ဖိုင်များကို တိုက်ရိုက်တင်ခြင်းအား တားမြစ်ထားသော်လည်း ဆာဗာများစွာရှိ PHP ဘာသာပြန်နှင့် ဆက်စပ်နေသည့် “.phtml” တိုးချဲ့မှုကို အမည်ပျက်စာရင်းတွင် ထည့်မထားပါ။ အဖြူရောင်စာရင်းသည် ပုံအပ်လုဒ်များကိုသာ ခွင့်ပြုသော်လည်း၊ ဥပမာ၊ “.gif.phtml” နှစ်ထပ်တိုးချဲ့မှုကို သတ်မှတ်ခြင်းဖြင့် ၎င်းကို ကျော်ဖြတ်နိုင်သည်။ ဖိုင်၏အစရှိ MIME အမျိုးအစားစစ်ဆေးခြင်းကို ကျော်ဖြတ်ရန်၊ PHP ကုဒ်ဖြင့် tag ကိုမဖွင့်မီ၊ “GIF89a” လိုင်းကို သတ်မှတ်ရန် လုံလောက်ပါသည်။
source: opennet.ru