PHP အပလီကေးရှင်းများတွင် အားနည်းချက်များကို ပိတ်ဆို့ရန်အတွက် Snuffleupagus 0.5.1 ကို ထုတ်ဝေခြင်း

ဖွံ့ဖြိုးတိုးတက်မှုတစ်နှစ်ပြီးနောက် ပုံနှိပ်ထုတ်ဝေ စီမံကိန်းထုတ်ပြန်ခြင်း။ Snuffleupagus 0.5.1ပတ်ဝန်းကျင်၏လုံခြုံရေးကို မြှင့်တင်ရန်နှင့် PHP အပလီကေးရှင်းများလည်ပတ်ရာတွင် အားနည်းချက်များဖြစ်ပေါ်စေသည့် ဘုံအမှားများကို ပိတ်ဆို့ရန်အတွက် PHP7 စကားပြန်အတွက် မော်ဂျူးတစ်ခုကို ပံ့ပိုးပေးသည်။ အဆိုပါ module ကိုလည်းဖန်တီးရန်ခွင့်ပြုပါတယ်။ virtual patch များ အသုံးပြုသူအပလီကေးရှင်းအားလုံးကို အပ်ဒိတ်လုပ်ထားရန် မဖြစ်နိုင်သော အစုလိုက်အပြုံလိုက် hosting စနစ်များတွင် အသုံးပြုရန် အဆင်ပြေသည့် အားနည်းချက်ရှိသော အပလီကေးရှင်း၏ အရင်းအမြစ်ကုဒ်ကို မပြောင်းလဲဘဲ သီးခြားပြဿနာများကို ဖယ်ရှားပစ်ရန်။ မော်ဂျူး၏ ကုန်ကျစရိတ်မှာ အနည်းငယ်မျှသာ ရှိမည်ဟု ခန့်မှန်းထားသည်။ မော်ဂျူးကို C ဖြင့်ရေးသားထားပြီး၊ php.ini တွင် မျှဝေထားသောစာကြည့်တိုက်ပုံစံ (“extension=snuffleupagus.so”) နှင့်ချိတ်ဆက်ထားသည်။ ဖြန့်ဝေသည် LGPL 3.0 အောက်တွင် လိုင်စင်ရထားသည်။

Snuffleupagus သည် လုံခြုံရေး ပိုမိုကောင်းမွန်စေရန် စံနမူနာများကို အသုံးပြုရန်၊ သို့မဟုတ် ထည့်သွင်းဒေတာနှင့် လုပ်ဆောင်မှု ကန့်သတ်ချက်များကို ထိန်းချုပ်ရန် သင့်ကိုယ်ပိုင် စည်းမျဉ်းများကို ဖန်တီးနိုင်စေမည့် စည်းမျဉ်းစနစ်တစ်ခုကို ပံ့ပိုးပေးပါသည်။ ဥပမာအားဖြင့်၊ စည်းမျဉ်း “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” အပလီကေးရှင်းကိုမပြောင်းဘဲ system() function arguments များတွင် အထူးဇာတ်ကောင်များအသုံးပြုခြင်းကို ကန့်သတ်ခွင့်ပြုသည်။ ပြဿနာများကဲ့သို့သော အားနည်းချက်များ၏ အတန်းအစားများကို ပိတ်ဆို့ရန် ထည့်သွင်းထားသော နည်းလမ်းများ၊ ဆက်စပ် ဒေတာအမှတ်စဉ်များဖြင့်၊ မလုံခြုံ PHP mail() လုပ်ဆောင်ချက်ကို အသုံးပြုခြင်း၊ XSS တိုက်ခိုက်မှုအတွင်း Cookie အကြောင်းအရာများ ယိုစိမ့်ခြင်း၊ executable code ဖြင့် ဖိုင်များကို တင်ခြင်းကြောင့် ပြဿနာများ (ဥပမာ၊ ဖော်မတ်၊ phar) အရည်အသွေးညံ့ဖျင်းသောကျပန်းနံပါတ်မျိုးဆက်နှင့် အစားထိုးခြင်း မှားယွင်းနေသော XML တည်ဆောက်မှုများ။

Snuffleupagus မှပေးသော PHP လုံခြုံရေးတိုးမြှင့်မုဒ်များ

• Cookies အတွက် "secure" နှင့် "samesite" (CSRF protection) အလံများကို အလိုအလျောက်ဖွင့်ပေးခြင်း၊ စာဝှက် ကွတ်ကီး;
• တိုက်ခိုက်မှုများ၏ခြေရာများကို ဖော်ထုတ်ရန်နှင့် အသုံးချပရိုဂရမ်များ၏ အပေးအယူလုပ်ခြင်းကို ဖော်ထုတ်ရန် ပါ၀င်သော စည်းမျဉ်းများ၊
• အတင်းအဓမ္မ ကမ္ဘာလုံးဆိုင်ရာ အသက်သွင်းမှု”တိကျသော" (ဥပမာ၊ ကိန်းပြည့်တန်ဖိုးကို အငြင်းအခုံတစ်ခုအဖြစ် မျှော်လင့်နေချိန်တွင် string တစ်ခုကို သတ်မှတ်ရန် ကြိုးပမ်းမှုကို ပိတ်ဆို့ခြင်း) နှင့် ကာကွယ်ခြင်း type manipulation ပါ။;
• ပုံသေပိတ်ဆို့ခြင်း။ ပရိုတိုကောထုပ်များ (ဥပမာ၊ "phar://" ကို ပိတ်ပင်ခြင်း)၊ ၎င်းတို့၏ ရှင်းလင်းပြတ်သားသော လူဖြူစာရင်းဖြင့်၊
• ရေး၍ရနိုင်သော ဖိုင်များကို အကောင်အထည်ဖော်ခြင်းအား တားမြစ်ခြင်း၊
• အကဲဖြတ်ရန်အတွက် အဖြူအမည်းစာရင်းများ၊
• အသုံးပြုနေစဉ် TLS လက်မှတ်စစ်ဆေးခြင်းကို ဖွင့်ရန် လိုအပ်သည်။
  curl;
• Deserialization သည် မူရင်းအပလီကေးရှင်းမှသိမ်းဆည်းထားသောဒေတာကိုပြန်လည်ရယူကြောင်းသေချာစေရန် HMAC ကို နံပါတ်စဉ်တပ်ထားသောအရာဝတ္ထုများထဲသို့ထည့်ခြင်း၊
• မှတ်တမ်းမုဒ်ကို တောင်းဆိုပါ။
• XML စာရွက်စာတမ်းများတွင် လင့်ခ်များမှတစ်ဆင့် libxml တွင် ပြင်ပဖိုင်များတင်ခြင်းကို ပိတ်ခြင်း၊
• အပ်လုဒ်လုပ်ထားသောဖိုင်များကို စစ်ဆေးရန်နှင့် စကင်န်ဖတ်ရန် ပြင်ပကိုင်တွယ်ကိရိယာများ (upload_validation) ချိတ်ဆက်နိုင်မှု၊

အနက် အပြောင်းအလဲများ ထုတ်ဝေမှုအသစ်တွင်- PHP 7.4 အတွက် ပိုမိုကောင်းမွန်သော ပံ့ပိုးကူညီမှုနှင့် လက်ရှိတည်ဆောက်ဆဲ PHP 8 ဌာနခွဲနှင့် လိုက်ဖက်ညီမှုကို အကောင်အထည်ဖော်ခဲ့သည်။ syslog မှတစ်ဆင့် ဖြစ်ရပ်များကို မှတ်တမ်းရယူနိုင်စွမ်းကို ပေါင်းထည့်နိုင်သည် (php သို့မဟုတ် syslog တန်ဖိုးများကို ထည့်သွင်းရန်အတွက် sp.log_media ညွှန်ကြားချက်ကို အဆိုပြုထားသည်)။ မကြာသေးမီက သတ်မှတ်ထားသော အားနည်းချက်များနှင့် ဝဘ်အက်ပလီကေးရှင်းများကို တိုက်ခိုက်သည့်နည်းစနစ်များအတွက် စည်းမျဉ်းအသစ်များ ထည့်သွင်းရန်အတွက် မူရင်းစည်းမျဉ်းများကို အပ်ဒိတ်လုပ်ထားပါသည်။ macOS အတွက် ပိုမိုကောင်းမွန်သော ပံ့ပိုးမှုနှင့် GitLab ကို အခြေခံထားသော စဉ်ဆက်မပြတ် ပေါင်းစပ်ပလပ်ဖောင်းကို တိုးချဲ့အသုံးပြုခြင်း။

source: opennet.ru