ယခုအချိန်အထိ WordPress တွင် အပ်ဒိတ်များကို ထည့်သွင်းသည့်အခါ အဓိက လုံခြုံရေးအချက်မှာ WordPress အခြေခံအဆောက်အအုံနှင့် ဆာဗာများတွင် ယုံကြည်ခြင်းဖြစ်သည် (ဒေါင်းလုဒ်လုပ်ပြီးနောက်၊ အရင်းအမြစ်ကို အတည်ပြုခြင်းမရှိဘဲ hash ကို စစ်ဆေးထားသည်)။ ပရောဂျက်၏ဆာဗာများ အပေးအယူခံရပါက၊ တိုက်ခိုက်သူများသည် အပ်ဒိတ်တစ်ခုကို အတုအယောင်လုပ်ပြီး အလိုအလျောက်အပ်ဒိတ်တပ်ဆင်မှုစနစ်ကို အသုံးပြုသည့် WordPress အခြေခံဆိုက်များကြားတွင် အန္တရာယ်ရှိသောကုဒ်များကို ဖြန့်ဝေနိုင်ကြသည်။ ယခင်က အသုံးပြုခဲ့သည့် ယုံကြည်စိတ်ချရသော ပေးပို့မှုပုံစံနှင့်အညီ၊ ထိုသို့သော အစားထိုးမှုသည် သုံးစွဲသူများဘက်မှ သတိမပြုမိတော့ပါ။
ထိုအချက်ကိုထည့်သွင်းစဉ်းစား
ဒစ်ဂျစ်တယ် လက်မှတ်များကို အသုံးပြုပါက၊ အပ်ဒိတ်ဖြန့်ချီရေးဆာဗာအပေါ် ထိန်းချုပ်မှုရရှိခြင်းသည် တိုက်ခိုက်မှုတစ်ခုပြုလုပ်ရန်အတွက် အပ်ဒိတ်များကို လက်မှတ်ရေးထိုးရန် အသုံးပြုသည့် သီးခြားသိမ်းဆည်းထားသော သီးသန့်သော့ကို ထပ်မံရယူထားရမည်ဖြစ်ပြီး၊
ဒစ်ဂျစ်တယ်လက်မှတ်ကို အသုံးပြု၍ အပ်ဒိတ်များ၏ရင်းမြစ်ကို စစ်ဆေးခြင်း အကောင်အထည်ဖော်မှုသည် မကြာသေးမီက standard PHP package တွင် လိုအပ်သော cryptographic algorithms များအတွက် ပံ့ပိုးကူညီမှုဖြင့် အတားအဆီးဖြစ်စေခဲ့သည်။ စာကြည့်တိုက်၏ ပေါင်းစည်းမှုကြောင့် လိုအပ်သော ကုဒ်ဝှက်စနစ် အယ်လဂိုရီသမ်များ ပေါ်လာသည်။
အဖြေရှာခဲ့တာ
ဒစ်ဂျစ်တယ် လက်မှတ်များ ထုတ်လုပ်ရန် အယ်လဂိုရီသမ်ကို အသုံးပြုသည်။
WordPress 5.2 ထုတ်ဝေမှုတွင်၊ ဒစ်ဂျစ်တယ်လက်မှတ်အတည်ပြုခြင်းသည် လက်ရှိတွင် အဓိကပလက်ဖောင်းအပ်ဒိတ်များကိုသာ အကျုံးဝင်ပြီး အပ်ဒိတ်ကို မူရင်းအတိုင်း မပိတ်ဆို့ထားဘဲ ပြဿနာအကြောင်းကို အသုံးပြုသူကိုသာ အသိပေးသည်။ အပြည့်အစုံ စစ်ဆေးပြီး ကျော်လွှားရန် လိုအပ်သောကြောင့် ပုံသေပိတ်ဆို့ခြင်းကို ချက်ချင်းမဖွင့်ရန် ဆုံးဖြတ်ခဲ့သည်။
WordPress 5.2 ရှိ ဒစ်ဂျစ်တယ် လက်မှတ်များအတွက် ပံ့ပိုးမှုအပြင်၊ အောက်ပါ အပြောင်းအလဲများကို မှတ်သားနိုင်သည်-
- စာမျက်နှာအသစ်နှစ်ခုကို "ဆိုက်ကျန်းမာရေး" ကဏ္ဍတွင် အမှားရှာပြင်ဆင်ခြင်းဆိုင်ရာ ပြဿနာများကို အမှားရှာခြင်းအတွက် စာမျက်နှာသစ်နှစ်ခုကို ထည့်သွင်းထားပြီး၊ ဆော့ဖ်ဝဲအင်ဂျင်နီယာများသည် ဆိုက်စီမံခန့်ခွဲသူများထံ အမှားရှာပြင်ဆင်ခြင်းဆိုင်ရာ အချက်အလက်များကို ချန်ထားခဲ့နိုင်သည့် ဖောင်တစ်ခုကိုလည်း ထည့်သွင်းထားပါသည်။
- ဆိုးရွားသောပြဿနာများအတွင်းပြသထားပြီး၊ အထူးပျက်စီးမှုပြန်လည်ရယူရေးမုဒ်သို့ပြောင်းခြင်းဖြင့် အက်ဒမင်သည် ပလပ်အင်များ သို့မဟုတ် အပြင်အဆင်များနှင့်သက်ဆိုင်သည့်ပြဿနာများကို လွတ်လပ်စွာဖြေရှင်းနိုင်ရန် စီမံခန့်ခွဲသူကိုကူညီပေးသည့် "သေခြင်း၏အဖြူရောင်ဖန်သားပြင်" ကို ထပ်လောင်းထည့်သွင်းထားသည်။
- PHP အသုံးပြုထားသောဗားရှင်းကိုထည့်သွင်းကာ လက်ရှိဖွဲ့စည်းပုံတွင် ပလပ်အင်အသုံးပြုခြင်း ဖြစ်နိုင်ခြေကို အလိုအလျောက်စစ်ဆေးပေးသည့် plugins များနှင့် လိုက်ဖက်ညီမှုကို စစ်ဆေးသည့်စနစ်တစ်ခုကို အကောင်အထည်ဖော်ခဲ့သည်။ ပလပ်အင်တစ်ခု အလုပ်လုပ်ရန် PHP ၏ ဗားရှင်းအသစ်ကို လိုအပ်ပါက၊ စနစ်သည် ဤ plugin ၏ ပါဝင်မှုကို အလိုအလျောက် ပိတ်ဆို့ပါမည်။
- JavaScript ကုဒ်ကို အသုံးပြု၍ modules များကိုဖွင့်ရန်အတွက် ပံ့ပိုးမှု ပေါင်းထည့်ထားသည်။
ဝဘ်အိတ် иBabel ; - privacy-policy.php နမူနာပုံစံအသစ်ကို privacy-policy.php တွင်ထည့်သွင်းထားပြီး privacy policy page ၏ content ကိုစိတ်ကြိုက်ပြင်ဆင်နိုင်သည်;
- အပြင်အဆင်များအတွက်၊ wp_body_open ချိတ်လက်ကိုင်ကို ပေါင်းထည့်ထားပြီး၊ သင်သည် ခန္ဓာကိုယ် tag ပြီးနောက် ကုဒ်ကို ချက်ချင်းထည့်သွင်းနိုင်စေမည်ဖြစ်သည်။
- PHP ၏ အနိမ့်ဆုံးဗားရှင်းအတွက် လိုအပ်ချက်များကို 5.6.20 သို့ မြှင့်တင်ထားပြီး၊ ယခုအခါ ပလပ်အင်များနှင့် အပြင်အဆင်များသည် namespaces နှင့် အမည်မသိလုပ်ဆောင်ချက်များကို သုံးနိုင်ပြီဖြစ်သည်။
- အိုင်ကွန်အသစ် 13 ခု ထပ်ထည့်ထားသည်။
ထို့အပြင်၊ သင်ဖော်ပြနိုင်သည်။
ပြဿနာသည် ဆာဗာသို့ ဖိုင်များတင်ခြင်းအတွက် ကုဒ်တွင် ပေါ်လာပြီး တရားဝင်ဖိုင်အမျိုးအစားများ၏ စစ်ဆေးမှုကို ကျော်ဖြတ်ကာ ဆာဗာသို့ PHP script ကို အပ်လုဒ်လုပ်ပြီးနောက် ၎င်းကို ဝဘ်မှတစ်ဆင့် တိုက်ရိုက်လုပ်ဆောင်နိုင်သည်။ စိတ်ဝင်စားစရာကောင်းသည်မှာ၊ ပြီးခဲ့သည့်နှစ်တွင် အလားတူအားနည်းချက်ကို Live Chat (CVE-2018-12426) တွင် တွေ့ရှိခဲ့ပြီး၊ အကြောင်းအရာအမျိုးအစားအကွက်တွင် မတူညီသောအကြောင်းအရာအမျိုးအစားကို ပုံတစ်ပုံအောက်တွင် PHP ကုဒ်ကိုတင်ခွင့်ပြုခဲ့သည်။ ပြုပြင်မှု၏တစ်စိတ်တစ်ပိုင်းအနေဖြင့်၊ ခွင့်ပြုထားသောစာရင်းများနှင့် MIME အကြောင်းအရာအမျိုးအစားအတွက် နောက်ထပ်စစ်ဆေးမှုများကို ထည့်သွင်းထားသည်။ ထွက်ပေါ်လာသည့်အတိုင်း ဤစစ်ဆေးမှုများကို မှားယွင်းစွာလုပ်ဆောင်ပြီး အလွယ်တကူ ကျော်ဖြတ်နိုင်သည်။
အထူးသဖြင့်၊ “.php” တိုးချဲ့မှုဖြင့် ဖိုင်များကို တိုက်ရိုက်တင်ခြင်းအား တားမြစ်ထားသော်လည်း ဆာဗာများစွာရှိ PHP ဘာသာပြန်နှင့် ဆက်စပ်နေသည့် “.phtml” တိုးချဲ့မှုကို အမည်ပျက်စာရင်းတွင် ထည့်မထားပါ။ အဖြူရောင်စာရင်းသည် ပုံအပ်လုဒ်များကိုသာ ခွင့်ပြုသော်လည်း၊ ဥပမာ၊ “.gif.phtml” နှစ်ထပ်တိုးချဲ့မှုကို သတ်မှတ်ခြင်းဖြင့် ၎င်းကို ကျော်ဖြတ်နိုင်သည်။ ဖိုင်၏အစရှိ MIME အမျိုးအစားစစ်ဆေးခြင်းကို ကျော်ဖြတ်ရန်၊ PHP ကုဒ်ဖြင့် tag ကိုမဖွင့်မီ၊ “GIF89a” လိုင်းကို သတ်မှတ်ရန် လုံလောက်ပါသည်။
source: opennet.ru