නිදහස් කරන්න WordPress ඩිජිටල් අත්සනක් භාවිතයෙන් යාවත්කාලීන කිරීම් පරීක්ෂා කිරීම සඳහා සහාය ඇතිව 5.2

විසින් ඉදිරිපත් කරන ලදී වෙබ් අන්තර්ගත කළමනාකරණ පද්ධතිය නිකුත් කිරීම WordPress 5.2. නිකුතුව එහි සම්පූර්ණ කිරීම සඳහා කැපී පෙනේ හය අවුරුදු වීර කාව්‍යය ක්රියාත්මක කිරීම මත අවස්ථා ඩිජිටල් අත්සනක් භාවිතයෙන් යාවත්කාලීන කිරීම් සහ එකතු කිරීම් පරීක්ෂා කිරීම.

මේ වන තෙක්, යාවත්කාලීන කිරීම් ස්ථාපනය කරන විට WordPress ආරක්ෂාව සහතික කිරීමේ ප්‍රධාන සාධකය වූයේ යටිතල පහසුකම් සහ සේවාදායකයන් කෙරෙහි විශ්වාසයයි. WordPress (බාගැනීමෙන් පසු, මූලාශ්‍රය සත්‍යාපනය නොකර හැෂ් එක පරීක්ෂා කරන ලදී). ව්‍යාපෘතියේ සේවාදායකයන් අවදානමට ලක් වුවහොත්, ප්‍රහාරකයින්ට යාවත්කාලීනය ප්‍රතිස්ථාපනය කිරීමට සහ අඩවි අතර අනිෂ්ට කේත බෙදා හැරීමට අවස්ථාව තිබුණි. WordPress, ස්වයංක්‍රීය යාවත්කාලීන ස්ථාපන පද්ධතිය භාවිතා කරමින්. කලින් භාවිතා කළ විශ්වාසදායක බෙදාහැරීමේ ආකෘතිය යටතේ, එවැනි ආදේශනයක් පරිශීලක පැත්තෙන් අනාවරණය නොවී යාමට ඉඩ තිබුණි.

යන කාරණය සැලකිල්ලට ගනිමින් ලබා දී ඇත w3techs වේදිකා ව්‍යාපෘතිය WordPress අන්තර්ජාලයේ වෙබ් අඩවි වලින් 33.8% ක් භාවිතා කරන්නේ නම්, සිදුවීමක් ව්‍යසනකාරී වීමට ඉඩ තිබුණි. එපමණක් නොව, යටිතල පහසුකම් සම්මුතියේ අනතුර උපකල්පිත නොව, තරමක් සැබෑ විය. උදාහරණයක් ලෙස, වසර කිහිපයකට පෙර, ආරක්ෂක පර්යේෂකයෙක් පෙන්නුම් කළා api.wordpress.org හි සේවාදායක පැත්තෙන් ප්‍රහාරකයෙකුට ඔහුගේ කේතය ක්‍රියාත්මක කිරීමට ඉඩ සලසන අවදානමක්.

ඩිජිටල් අත්සන් වලදී, යාවත්කාලීන බෙදා හැරීමේ සේවාදායකයේ පාලනය ලබා ගැනීම පරිශීලක පද්ධති සම්මුතියකට තුඩු නොදෙනු ඇත, මන්ද ප්‍රහාරයක් සිදු කිරීමට, ඔබට අතිරේකව යාවත්කාලීන කිරීම් අත්සන් කර ඇති වෙනම ගබඩා කර ඇති පුද්ගලික යතුරක් ලබා ගැනීමට අවශ්‍ය වනු ඇත.

ඩිජිටල් අත්සනක් භාවිතයෙන් යාවත්කාලීන මූලාශ්‍රය පරීක්ෂා කිරීම ක්‍රියාත්මක කිරීම සඳහා අවශ්‍ය ගුප්ත ලේඛන ඇල්ගොරිතම සඳහා සහය සාපේක්ෂව මෑතකදී සම්මත PHP පැකේජයේ දර්ශනය වීම නිසා බාධා ඇති විය. අවශ්ය ගුප්ත ලේඛන ඇල්ගොරිතම පුස්තකාලය ඒකාබද්ධ කිරීම සඳහා ස්තුති විය ලිබ්සෝඩියම් ප්රධාන කණ්ඩායමට PHP 7.2. නමුත් අවම වශයෙන් සහය දක්වන පරිදි WordPress PHP අනුවාද ප්රකාශ කළේය 5.2.4 නිකුතුව (ආරම්භ වන්නේ WordPress 5.2 - 5.6.20). ඩිජිටල් අත්සන් සඳහා සහය සක්‍රීය කිරීම අවම සහය දක්වන PHP අනුවාදය සඳහා අවශ්‍යතා සැලකිය යුතු ලෙස වැඩි කිරීමට හෝ බාහිර යැපීමක් එකතු කිරීමට ඉඩ තිබුණි, සත්කාරක පද්ධතිවල PHP අනුවාද බහුලව පවතින බැවින් සංවර්ධකයින්ට එය කළ නොහැකි විය.

විසඳුම විය වර්ධනය සහ සංයුතියට ඇතුළත් කිරීම WordPress ලිබ්සෝඩියම් හි 5.2 සංයුක්ත ප්‍රභේදය - සෝඩියම් සංයුක්ත, ඩිජිටල් අත්සන් සත්‍යාපනය සඳහා අවම ඇල්ගොරිතම කට්ටලයක් PHP හි ක්‍රියාත්මක වේ. ක්‍රියාත්මක කිරීම කාර්ය සාධනය අනුව අපේක්ෂා කිරීමට බොහෝ දේ ඉතිරි කරයි, නමුත් අනුකූලතා ගැටළුව සම්පූර්ණයෙන්ම විසඳයි, සහ ප්ලගින සංවර්ධකයින්ට නවීන ගුප්ත ලේඛන ඇල්ගොරිතම ක්‍රියාත්මක කිරීම ආරම්භ කිරීමට ඉඩ සලසයි.

ඩිජිටල් අත්සන් උත්පාදනය කිරීමට ඇල්ගොරිතමයක් භාවිතා කරයි එඩ්25519, Daniel J. Bernstein ගේ සහභාගීත්වයෙන් වර්ධනය විය. යාවත්කාලීන සංරක්ෂිතයේ අන්තර්ගතයෙන් ගණනය කරන ලද SHA384 හැෂ් අගය සඳහා ඩිජිටල් අත්සනක් ජනනය වේ. Ed25519 ECDSA සහ DSA වලට වඩා ඉහළ මට්ටමේ ආරක්ෂාවක් ඇති අතර, සත්‍යාපනයේ සහ අත්සන සෑදීමේ ඉතා ඉහළ වේගයක් පෙන්නුම් කරයි. Ed25519 සඳහා අනවසරයෙන් ඇතුළුවීමට ඇති ප්‍රතිරෝධය 2^128 පමණ වේ (සාමාන්‍යයෙන්, Ed25519 මත ප්‍රහාරයක් සඳහා 2^140 bit මෙහෙයුම් අවශ්‍ය වේ), එය බිටු 256ක ප්‍රමාණයකින් යුත් NIST P-3000 සහ RSA වැනි ඇල්ගොරිතමවල ප්‍රතිරෝධයට අනුරූප වේ. හෝ 128-bit වාරණ කේතාංකය. Ed25519 හෑෂ් ගැටීම් සම්බන්ධ ගැටළු වලටද ගොදුරු නොවන අතර, හැඹිලි-කාල ප්‍රහාර හෝ පැති-නාලිකා ප්‍රහාර වලට ගොදුරු නොවේ.

ගැටලුවේ WordPress 5.2 ඩිජිටල් අත්සන සත්‍යාපනය දැනට ප්‍රධාන වේදිකා යාවත්කාලීන කිරීම් පමණක් ආවරණය කරන අතර පෙරනිමියෙන් යාවත්කාලීන කිරීම අවහිර නොකරයි, නමුත් පරිශීලකයාට ගැටලුව පිළිබඳව පමණක් දැනුම් දෙයි. සම්පූර්ණ පරීක්ෂාවක් සහ මඟ හැරීමක් අවශ්‍ය බැවින් පෙරනිමියෙන් අවහිර කිරීම සක්‍රීය නොකිරීමට තීරණය කරන ලදී. විය හැකි ගැටළු. අනාගතයේදී, තේමා සහ ප්ලගීන ස්ථාපනය කිරීමේ මූලාශ්‍රය තහවුරු කිරීම සඳහා ඩිජිටල් අත්සන සත්‍යාපනය එක් කිරීමට ද සැලසුම් කර ඇත (නිෂ්පාදකයන්ට ඔවුන්ගේ යතුර සමඟ නිකුතු අත්සන් කිරීමට හැකි වනු ඇත).

ඩිජිටල් අත්සන් සඳහා සහාය වීමට අමතරව, WordPress 5.2 පහත වෙනස්කම් සටහන් කළ හැක:

  • පොදු වින්‍යාසකරණ ගැටළු නිදොස් කිරීම සඳහා “අඩවි සෞඛ්‍යය” කොටසට නව පිටු දෙකක් එක් කර ඇති අතර, සංවර්ධකයින්ට නිදොස් කිරීමේ තොරතුරු අඩවි පරිපාලකයින්ට ලබා දිය හැකි පෝරමයක් ද සපයා ඇත;
  • මාරාන්තික ගැටළු වලදී ප්‍රදර්ශනය කරන ලද “මරණයේ සුදු තිරය” ක්‍රියාත්මක කිරීම එකතු කිරීම සහ විශේෂ බිඳවැටීමේ ප්‍රතිසාධන මාදිලියකට මාරු වීමෙන් ප්ලගීන හෝ තේමාවන් සම්බන්ධ ගැටළු ස්වාධීනව විසඳීමට පරිපාලකයාට උපකාර කිරීම;
  • ප්ලගීන සමඟ ගැළපුම පරීක්ෂා කිරීමේ පද්ධතියක් ක්‍රියාත්මක කර ඇති අතර, එය භාවිතා කරන PHP අනුවාදය සැලකිල්ලට ගනිමින් වත්මන් වින්‍යාසය තුළ ප්ලගිනය භාවිතා කිරීමේ හැකියාව ස්වයංක්‍රීයව පරීක්ෂා කරයි. ප්ලගිනයකට වැඩ කිරීමට PHP හි නව අනුවාදයක් අවශ්‍ය නම්, පද්ධතිය ස්වයංක්‍රීයව මෙම ප්ලගිනය ඇතුළත් කිරීම අවහිර කරයි;
  • ජාවාස්ක්‍රිප්ට් කේතය භාවිතයෙන් මොඩියුල සබල කිරීමට සහය එක් කරන ලදී webpack и බබෙල්;
  • පුද්ගලිකත්ව ප්‍රතිපත්ති පිටුවේ අන්තර්ගතය අභිරුචිකරණය කිරීමට ඔබට ඉඩ සලසන නව privacy-policy.php අච්චුවක් එක් කරන ලදී;
  • තේමා සඳහා, wp_body_open හක්ක හසුරුවන්නක් එකතු කර ඇත, ඔබට ශරීර ටැගයට පසු වහාම කේතය ඇතුළු කිරීමට ඉඩ සලසයි;
  • PHP හි අවම අනුවාදය සඳහා අවශ්‍යතා 5.6.20 දක්වා ඉහළ නංවා ඇති අතර තේමා වලට දැන් නාම අවකාශයන් සහ නිර්නාමික කාර්යයන් භාවිතා කිරීමේ හැකියාව ඇත;
  • නව අයිකන 13ක් එක් කරන ලදී.

ඊට අමතරව, ඔබට සඳහන් කළ හැකිය හඳුනාගැනීම තීරණාත්මක අවදානම WordPress-ප්ලගිනය WP සජීවී කතාබස් (CVE-2019-11185). අනාරක්ෂිත බව සේවාදායකයේ අත්තනෝමතික PHP කේතය ක්‍රියාත්මක කිරීමට ඉඩ දෙයි. IKEA, Adobe, Huawei, PayPal, Tele27 සහ McDonald's වැනි සමාගම්වල වෙබ් අඩවි ඇතුළුව අමුත්තන් සමඟ අන්තර්ක්‍රියාකාරී කතාබස් සංවිධානය කිරීමට ප්ලගිනය අඩවි 2 කට වඩා භාවිතා කරයි (සජීවී කතාබස් බොහෝ විට උත්පතන කරදරකාරී ලෙස ක්‍රියාත්මක කිරීමට භාවිතා කරයි. දීමනා සමඟ සමාගම් අඩවිවල කතාබස් සේවකයා සමඟ කතාබස් කරන්න).

සේවාදායකයට ගොනු උඩුගත කිරීම සඳහා වන කේතය තුළ ගැටළුව ප්‍රකාශ වන අතර වලංගු ගොනු වර්ග පරීක්ෂා කිරීම මඟහැර PHP ස්ක්‍රිප්ට් එකක් සේවාදායකයට උඩුගත කිරීමට ඉඩ සලසයි, ඉන්පසු එය වෙබය හරහා කෙලින්ම ක්‍රියාත්මක කරන්න. සිත්ගන්නා කරුණ නම්, පසුගිය වසරේ සජීවී කතාබස් (CVE-2018-12426) හි සමාන අවදානමක් දැනටමත් හඳුනාගෙන ඇති අතර, එමඟින් අන්තර්ගත ආකාරයේ ක්ෂේත්‍රයේ වෙනස් අන්තර්ගත වර්ගයක් සඳහන් කරමින් රූපයක මුවාවෙන් PHP කේතය පූරණය කිරීමට ඉඩ ලබා දී ඇත. නිවැරදි කිරීමේ කොටසක් ලෙස, සුදු ලැයිස්තු සහ MIME අන්තර්ගත වර්ගය සඳහා අමතර චෙක්පත් එක් කර ඇත. එය පෙනෙන පරිදි, මෙම චෙක්පත් වැරදි ලෙස ක්රියාත්මක කර ඇති අතර පහසුවෙන් මඟ හැරිය හැක.

විශේෂයෙන්ම, ".php" දිගුව සමඟ ගොනු සෘජුවම උඩුගත කිරීම තහනම් කර ඇත, නමුත් බොහෝ සේවාදායකයන් මත PHP පරිවර්තකය සමඟ සම්බන්ධ වී ඇති ".phtml" දිගුව අසාදු ලේඛනයට එකතු කර නොමැත. සුදු ලැයිස්තුව පින්තූර උඩුගත කිරීමට පමණක් ඉඩ දෙයි, නමුත් ඔබට ද්විත්ව දිගුවක් සඳහන් කිරීමෙන් එය මඟ හැරිය හැක, උදාහරණයක් ලෙස, ".gif.phtml". ගොනුවේ ආරම්භයේ ඇති MIME වර්ගයේ චෙක්පත මඟ හැරීමට, PHP කේතය සමඟ ටැගය විවෘත කිරීමට පෙර, "GIF89a" රේඛාව සඳහන් කිරීමට ප්රමාණවත් විය.

මූලාශ්රය: opennet.ru

DDoS ආරක්ෂාව, VPS VDS සේවාදායකයන් සහිත අඩවි සඳහා විශ්වාසදායක සත්කාරකත්වය මිලදී ගන්න 🔥 DDoS ආරක්ෂාව, VPS VDS සේවාදායකයන් සහිත විශ්වාසදායක වෙබ් අඩවි සත්කාරකත්වය මිලදී ගන්න | ProHoster