sii daynta nidaamka maamulka nuxurka webka . Siideynta ayaa caan ku ah dhamaystirkeeda hirgelinta hubinta wixii ku soo cusboonaado iyo ku kordhinta iyadoo la isticmaalayo saxeex dhijitaal ah.
Ilaa hadda, markii lagu rakibayo cusboonaysiinta WordPress, qodobka ugu weyn ee amniga ayaa ahaa kalsoonida kaabayaasha WordPress iyo adeegayaasha (ka dib markii la soo dejiyo, xashiishku waa la hubiyay iyada oo aan la xaqiijin isha). Haddii adeegayaasha mashruuca la jebiyey, weeraryahannadu waxay awoodeen inay cusbooneysiiyaan oo ay u qaybiyaan kood xaasidnimo ah boggaga ku salaysan WordPress ee isticmaala nidaamka rakibidda cusbooneysiinta tooska ah. Iyadoo la raacayo qaabka gudbinta aaminaadda ee hore loo isticmaalay, beddelka noocan oo kale ah wuxuu noqon lahaa mid aan la dareemin dhinaca isticmaalayaasha.
Iyadoo la tixgelinayo xaqiiqda ah in ee mashruuca w3techs, madal WordPress ah waxaa loo isticmaalaa 33.8% ee shabakadaha shabakadaha, dhacdadu waxay qaadan lahayd miisaanka musiibada. Isla mar ahaantaana, khatarta isku-tanaasulka kaabayaasha ma ahayn mid mala awaal ah, laakiin waa dhab. Tusaale ahaan, dhowr sano ka hor mid ka mid ah cilmi-baarayaasha amniga nuglaansho u ogolaatay weeraryahan inuu ku fuliyo koodkiisa dhinaca server-ka api.wordpress.org.
Marka laga hadlayo saxeexyada dhijitaalka ah, helitaanka xakamaynta qaybinta qaybinta cusboonaysiinta ma horseedi doonto tanaasulka nidaamyada adeegsadaha, tan iyo si aad u qaaddo weerarka, waxaad sidoo kale u baahan doontaa inaad hesho fure gaar ah oo si gaar ah loo kaydiyay, kaas oo cusbooneysiin lagu saxeexay.
Hirgelinta hubinta isha cusboonaysiinta iyadoo la adeegsanayo saxeex dhijitaal ah ayaa caqabad ku noqotay xaqiiqda ah in taageerada algorithographics-ka lagama maarmaanka ah ay ka soo muuqdeen xirmada caadiga ah ee PHP dhawaanahan. Algorithms-yada loo baahan yahay ee loo yaqaan 'cryptographical algorithms' ayaa u muuqday mahadnaqa isku dhafka maktabadda kooxda ugu weyn . Laakiin sida nooca ugu yar ee la taageeray ee PHP ee WordPress sii daayo 5.2.4 (ka WordPress 5.2 - 5.6.20). U oggolaanshaha taageerada saxeexyada dhijitaalka ah waxay horseedi doontaa koror la taaban karo oo ku saabsan shuruudaha nooca ugu yar ee la taageeray ee PHP ama ku-darka ku-tiirsanaanta dibadda, taas oo horumariyayaashu ay samayn kari waayeen marka la eego baaxadda noocyada PHP ee nidaamyada martigelinta.
Xalku wuxuu ahaa iyo ku darida nooca is haysta ee Libsodium ee WordPress 5.2 - , kaas oo ugu yar ee algorithms ee xaqiijinta saxeexyada dhijitaalka ah lagu hirgeliyay PHP. Hirgelintu waxay ka tagtaa wax badan oo la rabo marka la eego waxqabadka, laakiin waxay si buuxda u xalisaa dhibaatada iswaafajinta, waxayna sidoo kale u ogolaataa horumarinta plugin inay bilaabaan hirgelinta algorithms cryptographic casriga ah.
Algorithm waxaa loo isticmaalaa in lagu dhaliyo saxiixyada dhijitaalka ah , la soo saaray iyadoo uu ka qaybqaatay Daniel J. Bernstein. Saxeexa dhijitaalka ah ayaa loo sameeyay SHA384 qiimaha xashiishka laga soo xisaabiyay waxa ku jira kaydka cusboonaysiinta. Ed25519 waxa uu leeyahay amni ka sarreeya ECDSA iyo DSA, oo waxa uu muujiyaa xawli aad u sarreeya ee xaqiijinta iyo abuurista saxeexa. Iska caabinta jabsiga Ed25519 waxay ku saabsan tahay 2 ^ 128 (celcelis ahaan, weerarka Ed25519 wuxuu u baahan doonaa 2 ^ 140 xoogaa hawlgal ah), taas oo u dhiganta iska caabinta algorithms sida NIST P-256 iyo RSA oo leh cabbir muhiim ah oo ah 3000 bits ama 128-bit block cipher. Ed25519 sidoo kale uma nuglaato dhibaatooyinka shilalka xashiishka, umana nuglaato weerarada cache-waqtiga ama weerarada kanaalka dhinac.
Siidaynta WordPress 5.2, xaqiijinta saxeexa dhijitaalka ah ayaa hadda daboosha oo kaliya cusboonaysiinta madal mana xannibayso cusboonaysiinta si caadi ah, laakiin kaliya waxay ogeysiisaa isticmaalaha dhibaatada. Waxaa la go'aamiyay in aan si degdeg ah loo suurtagelin xannibaadda caadiga ah sababtoo ah baahida loo qabo hubin buuxda iyo meel-marin . Mustaqbalka, waxa kale oo la qorsheeyay in lagu daro xaqiijinta saxeexa dhijitaalka ah si loo caddeeyo halka laga keenay mawduucyada iyo plugins-ka (wax-soo-saarayaashu waxay awood u yeelan doonaan inay furaha ku saxeexaan siidaynta).
Marka lagu daro taageerada saxeexyada dhijitaalka ah ee WordPress 5.2, isbeddelada soo socda ayaa la xusi karaa:
- Laba bog oo cusub ayaa lagu daray qaybta "Caafimaadka Goobta" si loogu saxo dhibaatooyinka qaabeynta guud, waxaana sidoo kale la bixiyay foom kaas oo horumariyayaashu ay uga tagi karaan macluumaadka khaladka maamulayaasha goobta;
- Dhaqangelinta lagu daray "shaashadda cad ee dhimashada", oo la soo bandhigay haddii ay dhacdo dhibaatooyin dilaa ah iyo ka caawinta maamulaha inuu si madax-bannaan u hagaajiyo dhibaatooyinka la xidhiidha plugins ama mawduucyada adigoo u beddelaya hab gaar ah oo soo kabashada shil;
- Nidaam lagu hubinayo in ay ku habboon yihiin plugins ayaa la hirgeliyay, kaas oo si toos ah u hubinaya suurtogalnimada isticmaalka plugin ee qaabka hadda jira, iyada oo la tixgelinayo nooca PHP ee la isticmaalay. Haddii plugin uu u baahan yahay nooc cusub oo PHP ah si uu u shaqeeyo, nidaamku wuxuu si toos ah u xannibi doonaa ku darista plugin this;
- Taageero lagu daray karti u gelinta cutubyada leh koodka JavaScript iyadoo la adeegsanayo ΠΈ ;
- Waxaa lagu daray qaab cusub oo gaar ah-policy.php kaas oo kuu ogolaanaya inaad habayso waxa ku jira bogga siyaasadda sirnimada;
- Mawduucyada, wp_body_open jillaab ayaa lagu daray, taasoo kuu oggolaaneysa inaad geliso kood isla markiiba sumadda jirka;
- Shuruudaha nooca ugu yar ee PHP ayaa kor loo qaaday 5.6.20; plugins iyo mawduucyada hadda waxay awood u leeyihiin inay isticmaalaan meelaha magacyadooda iyo shaqooyinka qarsoon;
- Lagu daray 13 astaamood oo cusub
Intaa waxaa dheer, waxaad sheegi kartaa nuglaanta muhiimka ah ee plugin WordPress (CVE-2019-11185). Nuglaanta waxay ogolaataa in koodka PHP ee gardarrada ah lagu fuliyo serverka. Plugin waxaa loo isticmaalaa in ka badan 27 kun oo goobood si loo abaabulo wada sheekaysi is dhexgal ah oo lala yeesho booqde, oo ay ku jiraan bogagga shirkadaha sida IKEA, Adobe, Huawei, PayPal, Tele2 iyo McDonald's ku sheekeysiga goobaha shirkadda oo leh dalabyo kala hadal shaqaalaha).
Dhibaatadu waxay ku tusinaysaa koodhka loogu talagalay gelinta faylasha server-ka waxayna kuu ogolaaneysaa inaad ka gudubto jeegaga noocyada faylka saxda ah oo aad geliso qoraalka PHP ee server-ka, ka dibna si toos ah ugu fuliso shabakada. Waxa xiisaha lihi leh, sannadkii hore baylah la mid ah ayaa horeba loogu aqoonsaday wada sheekaysiga tooska ah (CVE-2018-12426), kaas oo u oggolaaday in lagu shubo koodhka PHP oo hoos yimaada sawirka sawirka, oo tilmaamaya nooc ka duwan nuxurka goobta nooca nuxurka ah. Iyada oo qayb ka ah hagaajinta, jeegag dheeraad ah ayaa lagu daray liiska cadcad iyo nooca MIME. Sida ay soo baxday, jeegaggu si khaldan ayaa loo fuliyaa si fududna waa loo dhaafi karaa.
Gaar ahaan, gelinta tooska ah ee faylasha leh kordhinta ".php" waa mamnuuc, laakiin ".phtml" kordhinta, oo la xidhiidha turjubaanka PHP ee servero badan, laguma darin liiska madow. Liistada cad-cad waxa ay ogolanaysaa oo kaliya in sawir la geliyo, laakiin waxa aad kaga gudbi kartaa adiga oo tilmaamaya kordhin laba jibaaran, tusaale ahaan β.gif.phtmlβ. Si aad uga gudubto hubinta nooca MIME ee bilowga faylka, ka hor inta aanad furin summada leh koodhka PHP, waxay ku filnayd in la qeexo xariiqda "GIF89a".
Source: opennet.ru