ويب مواد مينيجمينٽ سسٽم جي ڇڏڻ . رليز ان جي مڪمل ٿيڻ لاء قابل ذڪر آهي عملدرآمد تي ڊجيٽل دستخط استعمال ڪندي تازه ڪاريون ۽ اضافو چيڪ ڪرڻ.
هينئر تائين، جڏهن ورڈپریس ۾ تازه ڪاريون نصب ڪرڻ، مکيه حفاظتي عنصر ورڈپریس انفراسٹرڪچر ۽ سرورز تي اعتماد هو (ڊائون لوڊ ڪرڻ کان پوء، هيش کي چڪاس ڪيو ويو بغير ذريعن جي تصديق ڪرڻ). جيڪڏهن پروجيڪٽ جا سرور سمجھوتا هئا، حملي ڪندڙ هڪ تازه ڪاري کي چوري ڪرڻ جي قابل هئا ۽ ورڈپریس-بنياد سائيٽن جي وچ ۾ بدسلوڪي ڪوڊ ورهائڻ جي قابل هئا جيڪي خودڪار تازه ڪاري تنصيب سسٽم استعمال ڪندا آهن. اڳ ۾ استعمال ٿيل اعتماد جي ترسيل ماڊل جي مطابق، اهڙي متبادل کي صارفين جي پاسي کان اڻڄاتل نظر اچي ها.
انهي حقيقت کي نظر ۾ رکندي w3techs پروجيڪٽ جي، ورڈپریس پليٽ فارم استعمال ڪيو ويو آهي 33.8٪ سائيٽن تي نيٽ ورڪ تي، اهو واقعو هڪ آفت جي پيماني تي ورتو هوندو. ساڳئي وقت، انفراسٹرڪچر سمجھوتي جو خطرو فرضي نه هو، پر بلڪل حقيقي. مثال طور، ڪيترائي سال اڳ سيڪيورٽي محققن مان هڪ هڪ ڪمزوري جيڪا هڪ حملي ڪندڙ کي اجازت ڏئي ٿي ته هو پنهنجي ڪوڊ کي api.wordpress.org جي سرور سائڊ تي عمل ڪري.
ڊجيٽل دستخطن جي صورت ۾، تازه ڪاري ورهائڻ واري سرور تي ڪنٽرول حاصل ڪرڻ سان صارف سسٽم جي سمجھوتي نه ٿيندي، ڇاڪاڻ ته هڪ حملو ڪرڻ لاء، توهان کي اضافي طور تي هڪ الڳ ذخيرو ٿيل نجي چيڪ حاصل ڪرڻ جي ضرورت پوندي، جنهن سان تازه ڪاريون دستخط ٿيل آهن.
ڊجيٽل دستخط استعمال ڪندي تازه ڪاري جي ذريعن کي جانچڻ جي عمل کي حقيقت ۾ رڪاوٽ ڪيو ويو ته ضروري cryptographic algorithms جي حمايت نسبتا تازو معياري PHP پيڪيج ۾ ظاهر ٿيو. لائبريري جي انضمام جي مهرباني ضروري cryptographic algorithms ظاهر ٿيو مکيه ٽيم ڏانهن . پر جيئن ورڈپریس ۾ PHP جو گهٽ ۾ گهٽ سپورٽ ٿيل ورزن 5.2.4 ڇڏڻ (ورڈپریس 5.2 - 5.6.20 کان). ڊجيٽل دستخطن لاءِ سپورٽ کي فعال ڪرڻ PHP جي گهٽ ۾ گهٽ سپورٽ ٿيل ورزن جي ضرورتن ۾ هڪ اهم واڌارو يا هڪ خارجي انحصار جي اضافي جو سبب بڻجندو، جيڪو ڊولپرز نه ڪري سگهيا هئا PHP نسخن جي ميزباني سسٽم ۾ اڳڀرائي جي ڪري.
حل هو ۽ ورڈپریس 5.2 ۾ Libsodium جي هڪ جامع ورزن جي شموليت - ، جنهن ۾ PHP ۾ ڊجيٽل دستخطن جي تصديق ڪرڻ لاءِ گهٽ ۾ گهٽ الگورٿم لاڳو ڪيو ويو آهي. عمل درآمد گهڻو ڪري ڇڏي ٿو ڪارڪردگي جي لحاظ کان گهربل، پر مڪمل طور تي مطابقت واري مسئلي کي حل ڪري ٿو، ۽ پڻ پلگ ان ڊولپرز کي جديد ڪرپٽوگرافڪ الگورتھم کي لاڳو ڪرڻ شروع ڪرڻ جي اجازت ڏئي ٿو.
هڪ الورورٿم ڊجيٽل دستخط پيدا ڪرڻ لاء استعمال ڪيو ويندو آهي ڊينيل جي برنسٽين جي شموليت سان ترقي ڪئي وئي. ھڪڙو ڊجيٽل دستخط ٺاھيو ويو آھي SHA384 ھش قدر لاءِ ڳڻپيو ويو اپڊيٽ آرڪائيو جي مواد مان. Ed25519 ECDSA ۽ DSA کان اعلي سطحي سيڪيورٽي آهي، ۽ تصديق ۽ دستخط ٺاهڻ جي تمام تيز رفتار کي ظاهر ڪري ٿو. Ed25519 لاءِ هيڪنگ جي مزاحمت تقريباً 2^128 آهي (اوسط طور تي، Ed25519 تي حملي لاءِ 2^140 بِٽ آپريشنز جي ضرورت پوندي)، جيڪا 256 بِٽ جي اهم سائيز سان NIST P-3000 ۽ RSA وانگر الگورتھم جي مزاحمت سان مطابقت رکي ٿي. يا 128-bit بلاڪ سيفر. Ed25519 hash collisions سان مسئلن لاءِ حساس ناهي، ۽ ڪيش ٽائمنگ حملن ۽ سائڊ چينل حملن لاءِ حساس ناهي.
ورڈپریس 5.2 رليز ۾، ڊجيٽل دستخط جي تصديق هن وقت صرف وڏي پليٽ فارم جي تازه ڪارين کي ڍڪيندي آهي ۽ ڊفالٽ طرفان اپڊيٽ کي بلاڪ نه ڪندو آهي، پر صرف صارف کي مسئلي بابت ڄاڻ ڏيندو آهي. مڪمل چيڪ ۽ بائي پاس جي ضرورت جي ڪري فوري طور تي ڊفالٽ بلاڪنگ کي فعال نه ڪرڻ جو فيصلو ڪيو ويو . مستقبل ۾، اهو پڻ رٿابندي ڪئي وئي آهي ڊجيٽل دستخط جي تصديق کي شامل ڪرڻ لاء موضوعات ۽ پلگ ان جي تنصيب جي ماخذ جي تصديق ڪرڻ لاء (ٺاهيندڙ انهن جي چاٻي سان رليز سائن ان ڪرڻ جي قابل هوندا).
ورڈپریس 5.2 ۾ ڊجيٽل دستخطن جي مدد سان گڏ، هيٺيون تبديليون نوٽ ڪري سگھجن ٿيون:
- ٻه نوان صفحا شامل ڪيا ويا آهن ”سائيٽ هيلٿ“ سيڪشن ۾ عام ترتيب جي مسئلن کي ڊيبگ ڪرڻ لاءِ، ۽ هڪ فارم پڻ مهيا ڪيو ويو آهي جنهن ذريعي ڊولپر ڊيبگنگ جي معلومات سائيٽ جي منتظمين کي ڇڏي سگهن ٿا؛
- "موت جي سفيد اسڪرين" تي عمل درآمد شامل ڪيو ويو، موتمار مسئلن جي صورت ۾ ڏيکاريو ويو ۽ منتظم کي خاص حادثي جي بحالي واري موڊ تي سوئچ ڪندي پلگ ان يا موضوع سان لاڳاپيل مسئلن کي آزاديء سان حل ڪرڻ ۾ مدد ڪندي؛
- پلگ ان سان مطابقت جي جانچ ڪرڻ لاءِ هڪ سسٽم لاڳو ڪيو ويو آهي، جيڪو پاڻمرادو موجوده ترتيب ۾ پلگ ان استعمال ڪرڻ جي امڪان کي جانچيندو آهي، استعمال ٿيل PHP جي ورزن کي مدنظر رکندي. جيڪڏهن هڪ پلگ ان کي ڪم ڪرڻ لاءِ PHP جي نئين ورزن جي ضرورت آهي، سسٽم خودڪار طريقي سان هن پلگ ان جي شموليت کي بلاڪ ڪندو.
- جاوا اسڪرپٽ ڪوڊ استعمال ڪندي ماڊلز کي چالو ڪرڻ لاءِ سپورٽ شامل ڪئي وئي и ;
- شامل ڪيو ويو ھڪڙو نئون privacy-policy.php ٽيمپليٽ جيڪو توھان کي اجازت ڏئي ٿو پرائيويسي پاليسي صفحي جي مواد کي ترتيب ڏيڻ؛
- موضوعن لاءِ، هڪ wp_body_open ٿلهو هينڊلر شامل ڪيو ويو آهي، جيڪو توهان کي باڊي ٽيگ کان پوءِ فوري طور تي ڪوڊ داخل ڪرڻ جي اجازت ڏئي ٿو.
- PHP جي گھٽ ۾ گھٽ ورزن لاءِ گهرجون 5.6.20 تائين وڌيون ويون آھن؛ پلگ ان ۽ موضوعن ۾ ھاڻي نالا اسپيس ۽ گمنام افعال استعمال ڪرڻ جي صلاحيت آھي.
- 13 نوان آئڪن شامل ڪيا ويا.
اضافي طور تي، توهان جو ذڪر ڪري سگهو ٿا ورڈپریس پلگ ان ۾ نازڪ ڪمزور (CVE-2019-11185). نقصان جي اجازت ڏئي ٿي صوابديدي PHP ڪوڊ کي سرور تي عمل ڪرڻ جي. پلگ ان 27 هزار کان وڌيڪ سائيٽن تي استعمال ڪيو ويو آهي هڪ دوري سان هڪ انٽرويو چيٽ کي منظم ڪرڻ لاء، بشمول ڪمپنين جي سائيٽن جهڙوڪ IKEA، Adobe، Huawei، PayPal، Tele2 ۽ McDonald's (Live Chat اڪثر ڪري استعمال ڪيو ويندو آهي پاپ اپ کي لاڳو ڪرڻ لاءِ ناراض ڪندڙ. ڪمپني جي سائيٽن تي چيٽ آفرز سان ملازم سان چيٽ).
مسئلو پاڻ کي سرور تي فائلن کي اپلوڊ ڪرڻ لاء ڪوڊ ۾ ظاهر ڪري ٿو ۽ توهان کي درست فائل جي قسمن جي چيڪ کي نظرانداز ڪرڻ ۽ سرور تي PHP اسڪرپٽ اپلوڊ ڪرڻ جي اجازت ڏئي ٿو، ۽ پوء ان کي سڌو سنئون ويب ذريعي. دلچسپ ڳالهه اها آهي ته گذريل سال لائيو چيٽ (CVE-2018-12426) ۾ هڪ اهڙي ئي خطري جي نشاندهي ڪئي وئي هئي، جيڪا PHP ڪوڊ کي تصوير جي آڙ ۾ لوڊ ڪرڻ جي اجازت ڏني، مواد جي قسم جي فيلڊ ۾ مختلف مواد جي قسم جي وضاحت ڪندي. فيڪس جي حصي جي طور تي، اضافي چيڪ شامل ڪيا ويا آهن وائيٽ لسٽن ۽ MIME مواد جي قسم لاءِ. جيئن ته اهو نڪتو، اهي چيڪ غلط طور تي لاڳو ڪيا ويا آهن ۽ آساني سان نظرانداز ڪري سگھجن ٿيون.
خاص طور تي، ".php" ايڪسٽينشن سان فائلن جي سڌي اپ لوڊ ڪرڻ منع آهي، پر ".phtml" ايڪسٽينشن، جيڪو ڪيترن ئي سرورن تي PHP مترجم سان لاڳاپيل آهي، بليڪ لسٽ ۾ شامل نه ڪيو ويو. وائيٽ لسٽ صرف تصويري اپلوڊ جي اجازت ڏئي ٿي، پر توھان ان کي بائي پاس ڪري سگھوٿا ڊبل ايڪسٽينشن بيان ڪري، مثال طور، “.gif.phtml”. فائل جي شروعات ۾ MIME ٽائيپ چيڪ کي بائي پاس ڪرڻ لاءِ، PHP ڪوڊ سان ٽيگ کولڻ کان اڳ، ”GIF89a“ واري لائن جي وضاحت ڪرڻ ڪافي هئي.
جو ذريعو: opennet.ru