kutolewa kwa mfumo wa usimamizi wa maudhui ya wavuti . Toleo hili linajulikana kwa kukamilika kwake juu ya utekelezaji kuangalia masasisho na nyongeza kwa kutumia sahihi ya dijiti.
Hadi sasa, wakati wa kusasisha sasisho katika WordPress, sababu kuu ya usalama ilikuwa uaminifu katika miundombinu ya WordPress na seva (baada ya kupakua, hashi iliangaliwa bila kuthibitisha chanzo). Ikiwa seva za mradi ziliathiriwa, wavamizi waliweza kuharibu sasisho na kusambaza msimbo hasidi kati ya tovuti zinazotumia WordPress zinazotumia mfumo wa usakinishaji wa sasisho otomatiki. Kwa mujibu wa muundo wa uwasilishaji wa uaminifu uliotumika hapo awali, uingizwaji kama huo haungetambuliwa kwa upande wa watumiaji.
Kwa kuzingatia ukweli kwamba ya mradi wa w3techs, jukwaa la WordPress linatumika kwenye 33.8% ya tovuti kwenye mtandao, tukio hilo lingechukua kiwango cha maafa. Wakati huo huo, hatari ya maelewano ya miundombinu haikuwa ya dhahania, lakini ni kweli kabisa. Kwa mfano, miaka kadhaa iliyopita mmoja wa watafiti wa usalama udhaifu uliomruhusu mshambulizi kutekeleza msimbo wake kwenye upande wa seva wa api.wordpress.org.
Kwa upande wa saini za dijiti, kupata udhibiti wa seva ya usambazaji wa sasisho hautasababisha maelewano ya mifumo ya watumiaji, kwani ili kutekeleza shambulio hilo, utahitaji pia kupata ufunguo wa kibinafsi uliohifadhiwa kando, ambao sasisho hutiwa saini.
Utekelezaji wa kuangalia chanzo cha sasisho kwa kutumia saini ya dijiti ulizuiliwa na ukweli kwamba usaidizi wa algoriti muhimu za kriptografia ulionekana kwenye kifurushi cha kawaida cha PHP hivi karibuni. Algorithms muhimu ya kriptografia ilionekana shukrani kwa ujumuishaji wa maktaba kwa timu kuu . Lakini kama toleo la chini linaloungwa mkono la PHP katika WordPress kutolewa 5.2.4 (kutoka WordPress 5.2 - 5.6.20). Kuwasha usaidizi wa sahihi za dijitali kunaweza kusababisha ongezeko kubwa la mahitaji ya toleo la chini kabisa linalotumika la PHP au kuongezwa kwa utegemezi wa nje, jambo ambalo wasanidi programu hawakuweza kufanya kutokana na kuenea kwa matoleo ya PHP katika mifumo ya upangishaji.
Suluhisho lilikuwa na kuingizwa kwa toleo la kompakt la Libsodium katika WordPress 5.2 - , ambapo seti ya chini ya algorithms ya kuthibitisha sahihi za dijiti inatekelezwa katika PHP. Utekelezaji huacha kuhitajika kwa suala la utendaji, lakini hutatua kabisa tatizo la utangamano, na pia inaruhusu watengenezaji wa programu-jalizi kuanza kutekeleza algorithms ya kisasa ya cryptographic.
Algorithm hutumiwa kutengeneza saini za dijiti , iliyoandaliwa kwa ushiriki wa Daniel J. Bernstein. Sahihi ya dijitali inatolewa kwa thamani ya heshi SHA384 iliyokokotwa kutoka kwa yaliyomo kwenye kumbukumbu ya sasisho. Ed25519 ina kiwango cha juu cha usalama kuliko ECDSA na DSA, na inaonyesha kasi ya juu sana ya uthibitishaji na kuunda sahihi. Upinzani wa utapeli wa Ed25519 ni kama 2 ^ 128 (kwa wastani, shambulio la Ed25519 litahitaji 2 ^ 140 shughuli kidogo), ambayo inalingana na upinzani wa algorithms kama vile NIST P-256 na RSA yenye saizi muhimu ya bits 3000. au 128-bit block cipher. Ed25519 pia haiwezi kukabiliwa na matatizo ya migongano ya heshi, na haishambuliwi na mashambulizi ya kuweka muda au mashambulizi ya kando ya kituo.
Katika toleo la WordPress 5.2, uthibitishaji wa saini za dijiti kwa sasa unashughulikia masasisho makuu ya jukwaa pekee na hauzuii sasisho kwa chaguomsingi, lakini hufahamisha tu mtumiaji kuhusu tatizo. Iliamuliwa kutowezesha uzuiaji wa chaguo-msingi mara moja kwa sababu ya hitaji la ukaguzi kamili na kupita . Katika siku zijazo, pia imepangwa kuongeza uthibitishaji wa saini ya dijiti ili kudhibitisha chanzo cha usakinishaji wa mada na programu-jalizi (watengenezaji wataweza kusaini matoleo na ufunguo wao).
Mbali na usaidizi wa sahihi za dijiti katika WordPress 5.2, mabadiliko yafuatayo yanaweza kuzingatiwa:
- Kurasa mbili mpya zimeongezwa kwenye sehemu ya "Afya ya Tovuti" kwa ajili ya kutatua matatizo ya kawaida ya usanidi, na fomu pia imetolewa ambayo watengenezaji wanaweza kuacha maelezo ya utatuzi kwa wasimamizi wa tovuti;
- Utekelezaji ulioongezwa wa "skrini nyeupe ya kifo", iliyoonyeshwa katika kesi ya matatizo mabaya na kusaidia msimamizi kurekebisha kwa kujitegemea matatizo yanayohusiana na programu-jalizi au mandhari kwa kubadili hali maalum ya kurejesha ajali;
- Mfumo wa kuangalia utangamano na programu-jalizi umetekelezwa, ambayo huangalia kiotomatiki uwezekano wa kutumia programu-jalizi katika usanidi wa sasa, kwa kuzingatia toleo la PHP lililotumiwa. Ikiwa programu-jalizi inahitaji toleo jipya zaidi la PHP kufanya kazi, mfumo utazuia kiotomatiki ujumuishaji wa programu-jalizi hii;
- Usaidizi ulioongezwa wa kuwezesha moduli kwa kutumia msimbo wa JavaScript ΠΈ ;
- Imeongeza kiolezo kipya cha privacy-policy.php ambacho kinakuruhusu kubinafsisha maudhui ya ukurasa wa sera ya faragha;
- Kwa mandhari, kidhibiti cha ndoano cha wp_body_open kimeongezwa, huku kuruhusu kuingiza msimbo mara baada ya lebo ya mwili;
- Mahitaji ya toleo la chini kabisa la PHP yamepandishwa hadi 5.6.20; programu-jalizi na mandhari sasa zina uwezo wa kutumia nafasi za majina na vitendakazi visivyojulikana;
- Imeongeza ikoni 13 mpya.
Kwa kuongeza, unaweza kutaja udhaifu mkubwa katika programu-jalizi ya WordPress (CVE-2019-11185). Athari hii huruhusu msimbo kiholela wa PHP kutekelezwa kwenye seva. Programu-jalizi inatumika kwenye tovuti zaidi ya elfu 27 ili kuandaa gumzo la mwingiliano na mgeni, ikijumuisha kwenye tovuti za kampuni kama vile IKEA, Adobe, Huawei, PayPal, Tele2 na McDonald's (Mazungumzo ya Moja kwa Moja mara nyingi hutumiwa kutekeleza kero ya pop-up. gumzo kwenye tovuti za kampuni zilizo na ofa zungumza na mfanyakazi).
Tatizo linajidhihirisha katika msimbo wa kupakia faili kwenye seva na hukuruhusu kupita hundi ya aina halali za faili na kupakia hati ya PHP kwenye seva, na kisha kuitekeleza moja kwa moja kupitia wavuti. Jambo la kufurahisha ni kwamba, mwaka jana hatari kama hiyo tayari ilitambuliwa katika Chat ya Moja kwa Moja (CVE-2018-12426), ambayo iliruhusu kupakia msimbo wa PHP chini ya kivuli cha picha, ikibainisha aina tofauti ya maudhui katika uga wa aina ya Maudhui. Kama sehemu ya kurekebisha, ukaguzi wa ziada umeongezwa kwa walioidhinishwa na aina ya maudhui ya MIME. Kama inavyotokea, ukaguzi huu unatekelezwa vibaya na unaweza kupitishwa kwa urahisi.
Hasa, upakiaji wa moja kwa moja wa faili na kiendelezi cha ".php" ni marufuku, lakini kiendelezi cha ".phtml", ambacho kinahusishwa na mkalimani wa PHP kwenye seva nyingi, hakikuongezwa kwenye orodha iliyoidhinishwa. Orodha iliyoidhinishwa inaruhusu upakiaji wa picha pekee, lakini unaweza kuikwepa kwa kubainisha kiendelezi maradufu, kwa mfano, ".gif.phtml". Ili kupitisha hundi ya aina ya MIME mwanzoni mwa faili, kabla ya kufungua lebo na msimbo wa PHP, ilikuwa ya kutosha kutaja mstari "GIF89a".
Chanzo: opennet.ru