இணைய உள்ளடக்க மேலாண்மை அமைப்பின் வெளியீடு . வெளியீடு அதன் நிறைவுக்கு குறிப்பிடத்தக்கது செயல்படுத்துவதில் டிஜிட்டல் கையொப்பத்தைப் பயன்படுத்தி புதுப்பிப்புகள் மற்றும் சேர்த்தல்களைச் சரிபார்க்கிறது.
இப்போது வரை, வேர்ட்பிரஸ் இல் புதுப்பிப்புகளை நிறுவும் போது, முக்கிய பாதுகாப்பு காரணி வேர்ட்பிரஸ் உள்கட்டமைப்பு மற்றும் சேவையகங்களில் நம்பிக்கை இருந்தது (பதிவிறக்கம் செய்த பிறகு, ஆதாரத்தை சரிபார்க்காமல் ஹாஷ் சரிபார்க்கப்பட்டது). திட்டத்தின் சேவையகங்கள் சமரசம் செய்யப்பட்டால், தாக்குதல் செய்பவர்கள் ஒரு புதுப்பிப்பை ஏமாற்றி, தானியங்கு புதுப்பிப்பு நிறுவல் அமைப்பைப் பயன்படுத்தும் வேர்ட்பிரஸ் அடிப்படையிலான தளங்களில் தீங்கிழைக்கும் குறியீட்டை விநியோகிக்க முடியும். முன்னர் பயன்படுத்தப்பட்ட நம்பிக்கை விநியோக மாதிரிக்கு இணங்க, அத்தகைய மாற்றீடு பயனர்களின் பக்கத்தில் கவனிக்கப்படாமல் போயிருக்கும்.
என்ற உண்மையை கணக்கில் கொண்டு w3techs திட்டத்தில், வேர்ட்பிரஸ் இயங்குதளம் நெட்வொர்க்கில் 33.8% தளங்களில் பயன்படுத்தப்படுகிறது, இந்த சம்பவம் ஒரு பேரழிவின் அளவை எடுத்திருக்கும். அதே நேரத்தில், உள்கட்டமைப்பு சமரசத்தின் ஆபத்து கற்பனையானது அல்ல, ஆனால் மிகவும் உண்மையானது. உதாரணமாக, பல ஆண்டுகளுக்கு முன்பு பாதுகாப்பு ஆராய்ச்சியாளர்களில் ஒருவர் api.wordpress.org இன் சர்வர் பக்கத்தில் தாக்குபவர் தனது குறியீட்டை இயக்க அனுமதிக்கும் ஒரு பாதிப்பு.
டிஜிட்டல் கையொப்பங்களைப் பொறுத்தவரை, புதுப்பிப்பு விநியோக சேவையகத்தின் மீது கட்டுப்பாட்டைப் பெறுவது பயனர் அமைப்புகளின் சமரசத்திற்கு வழிவகுக்காது, ஏனெனில் தாக்குதலைச் செய்ய, நீங்கள் கூடுதலாக ஒரு தனித்தனியாக சேமிக்கப்பட்ட தனிப்பட்ட விசையைப் பெற வேண்டும், அதனுடன் புதுப்பிப்புகள் கையொப்பமிடப்படுகின்றன.
டிஜிட்டல் கையொப்பத்தைப் பயன்படுத்தி புதுப்பிப்புகளின் மூலத்தைச் சரிபார்க்கும் செயல்பாட்டில், தேவையான கிரிப்டோகிராஃபிக் அல்காரிதம்களுக்கான ஆதரவு ஒப்பீட்டளவில் சமீபத்தில் நிலையான PHP தொகுப்பில் தோன்றியதால் தடைபட்டது. தேவையான கிரிப்டோகிராஃபிக் அல்காரிதம்கள் நூலகத்தின் ஒருங்கிணைப்புக்கு நன்றி தோன்றின முக்கிய அணிக்கு . ஆனால் வேர்ட்பிரஸ்ஸில் PHP இன் குறைந்தபட்ச ஆதரவு பதிப்பு வெளியீடு 5.2.4 (WordPress 5.2 - 5.6.20 இலிருந்து). டிஜிட்டல் கையொப்பங்களுக்கான ஆதரவை இயக்குவது, PHP இன் குறைந்தபட்ச ஆதரவு பதிப்புக்கான தேவைகளில் குறிப்பிடத்தக்க அதிகரிப்புக்கு வழிவகுக்கும் அல்லது வெளிப்புற சார்பு சேர்க்கைக்கு வழிவகுக்கும், ஹோஸ்டிங் அமைப்புகளில் PHP பதிப்புகள் அதிகமாக இருப்பதால் டெவலப்பர்களால் செய்ய முடியாது.
தீர்வு இருந்தது மற்றும் வேர்ட்பிரஸ் 5.2 இல் லிப்சோடியத்தின் சிறிய பதிப்பைச் சேர்த்தல் - , இதில் டிஜிட்டல் கையொப்பங்களைச் சரிபார்ப்பதற்கான குறைந்தபட்ச அல்காரிதம்கள் PHP இல் செயல்படுத்தப்படுகின்றன. செயல்படுத்தல் செயல்திறன் அடிப்படையில் விரும்பத்தக்கதாக உள்ளது, ஆனால் பொருந்தக்கூடிய சிக்கலை முழுமையாக தீர்க்கிறது, மேலும் செருகுநிரல் டெவலப்பர்கள் நவீன கிரிப்டோகிராஃபிக் அல்காரிதம்களை செயல்படுத்தத் தொடங்க அனுமதிக்கிறது.
டிஜிட்டல் கையொப்பங்களை உருவாக்க அல்காரிதம் பயன்படுத்தப்படுகிறது , டேனியல் ஜே. பெர்ன்ஸ்டீனின் பங்கேற்புடன் உருவாக்கப்பட்டது. புதுப்பிப்பு காப்பகத்தின் உள்ளடக்கத்திலிருந்து கணக்கிடப்பட்ட SHA384 ஹாஷ் மதிப்பிற்கு டிஜிட்டல் கையொப்பம் உருவாக்கப்படுகிறது. Ed25519 ECDSA மற்றும் DSA ஐ விட அதிக அளவிலான பாதுகாப்பைக் கொண்டுள்ளது, மேலும் சரிபார்ப்பு மற்றும் கையொப்ப உருவாக்கத்தின் மிக அதிக வேகத்தைக் காட்டுகிறது. Ed25519 க்கான ஹேக்கிங்கிற்கான எதிர்ப்பானது சுமார் 2^128 ஆகும் (சராசரியாக, Ed25519 மீதான தாக்குதலுக்கு 2^140 பிட் செயல்பாடுகள் தேவைப்படும்), இது 256 பிட்கள் முக்கிய அளவுள்ள NIST P-3000 மற்றும் RSA போன்ற அல்காரிதம்களின் எதிர்ப்பிற்கு ஒத்திருக்கிறது. அல்லது 128-பிட் தொகுதி மறைக்குறியீடு. Ed25519 ஆனது ஹாஷ் மோதலில் உள்ள சிக்கல்களுக்கு எளிதில் பாதிக்கப்படாது, மேலும் கேச்-டைமிங் தாக்குதல்கள் அல்லது பக்க-சேனல் தாக்குதல்களுக்கு எளிதில் பாதிக்கப்படாது.
வேர்ட்பிரஸ் 5.2 வெளியீட்டில், டிஜிட்டல் கையொப்ப சரிபார்ப்பு தற்போது முக்கிய இயங்குதள புதுப்பிப்புகளை மட்டுமே உள்ளடக்கியது மற்றும் புதுப்பிப்பை இயல்பாகத் தடுக்காது, ஆனால் சிக்கலைப் பற்றி பயனருக்கு மட்டுமே தெரிவிக்கிறது. முழு சரிபார்ப்பு மற்றும் பைபாஸ் தேவைப்படுவதால், இயல்புநிலை தடுப்பை உடனடியாக இயக்க வேண்டாம் என்று முடிவு செய்யப்பட்டது . எதிர்காலத்தில், தீம்கள் மற்றும் செருகுநிரல்களின் நிறுவலின் மூலத்தை சரிபார்க்க டிஜிட்டல் கையொப்ப சரிபார்ப்பைச் சேர்க்க திட்டமிடப்பட்டுள்ளது (உற்பத்தியாளர்கள் தங்கள் விசையுடன் வெளியீடுகளில் கையொப்பமிட முடியும்).
வேர்ட்பிரஸ் 5.2 இல் டிஜிட்டல் கையொப்பங்களுக்கான ஆதரவுடன் கூடுதலாக, பின்வரும் மாற்றங்களைக் குறிப்பிடலாம்:
- பொதுவான உள்ளமைவு சிக்கல்களை பிழைத்திருத்துவதற்கு "தள ஆரோக்கியம்" பிரிவில் இரண்டு புதிய பக்கங்கள் சேர்க்கப்பட்டுள்ளன, மேலும் டெவலப்பர்கள் பிழைத்திருத்தத் தகவலை தள நிர்வாகிகளிடம் விட்டுவிடக்கூடிய படிவமும் வழங்கப்பட்டுள்ளது;
- "மரணத்தின் வெள்ளைத் திரை" செயல்படுத்தப்பட்டது, ஆபத்தான சிக்கல்களின் போது காட்டப்படும் மற்றும் சிறப்பு செயலிழப்பு மீட்பு பயன்முறைக்கு மாறுவதன் மூலம் செருகுநிரல்கள் அல்லது கருப்பொருள்கள் தொடர்பான சிக்கல்களை சுயாதீனமாக சரிசெய்ய நிர்வாகிக்கு உதவுகிறது;
- செருகுநிரல்களுடன் பொருந்தக்கூடிய தன்மையைச் சரிபார்க்கும் ஒரு அமைப்பு செயல்படுத்தப்பட்டுள்ளது, இது PHP இன் பதிப்பைக் கணக்கில் எடுத்துக்கொண்டு, தற்போதைய உள்ளமைவில் செருகுநிரலைப் பயன்படுத்துவதற்கான சாத்தியத்தை தானாகவே சரிபார்க்கிறது. ஒரு செருகுநிரலுக்கு PHP இன் புதிய பதிப்பு தேவைப்பட்டால், கணினி தானாகவே இந்த செருகுநிரலைச் சேர்ப்பதைத் தடுக்கும்;
- JavaScript குறியீட்டைப் பயன்படுத்தி தொகுதிகளை இயக்குவதற்கான ஆதரவு சேர்க்கப்பட்டது и ;
- தனியுரிமைக் கொள்கைப் பக்கத்தின் உள்ளடக்கத்தைத் தனிப்பயனாக்க உங்களை அனுமதிக்கும் புதிய தனியுரிமை-policy.php டெம்ப்ளேட் சேர்க்கப்பட்டது;
- தீம்களுக்கு, ஒரு wp_body_open ஹூக் ஹேண்ட்லர் சேர்க்கப்பட்டுள்ளது, இது உடல் குறிச்சொல்லுக்குப் பிறகு உடனடியாக குறியீட்டைச் செருக அனுமதிக்கிறது;
- PHP இன் குறைந்தபட்ச பதிப்புக்கான தேவைகள் 5.6.20 ஆக உயர்த்தப்பட்டுள்ளன, செருகுநிரல்கள் மற்றும் கருப்பொருள்கள் இப்போது பெயர்வெளிகள் மற்றும் அநாமதேய செயல்பாடுகளைப் பயன்படுத்தும் திறனைக் கொண்டுள்ளன;
- 13 புதிய சின்னங்கள் சேர்க்கப்பட்டன.
கூடுதலாக, நீங்கள் குறிப்பிடலாம் வேர்ட்பிரஸ் செருகுநிரலில் முக்கியமான பாதிப்பு (CVE-2019-11185). பாதிப்பு தன்னிச்சையான PHP குறியீட்டை சர்வரில் செயல்படுத்த அனுமதிக்கிறது. IKEA, Adobe, Huawei, PayPal, Tele27 மற்றும் McDonald's போன்ற நிறுவனங்களின் தளங்கள் உட்பட, பார்வையாளர்களுடன் ஊடாடும் அரட்டையை ஒழுங்கமைக்க 2 ஆயிரத்துக்கும் மேற்பட்ட தளங்களில் செருகுநிரல் பயன்படுத்தப்படுகிறது ஆஃபர்களுடன் நிறுவனத் தளங்களில் அரட்டைகள் ஊழியருடன் அரட்டை).
சேவையகத்தில் கோப்புகளைப் பதிவேற்றுவதற்கான குறியீட்டில் சிக்கல் தன்னை வெளிப்படுத்துகிறது மற்றும் செல்லுபடியாகும் கோப்பு வகைகளின் சரிபார்ப்பைத் தவிர்த்து, சேவையகத்திற்கு PHP ஸ்கிரிப்டைப் பதிவேற்றவும், பின்னர் அதை இணையம் வழியாக நேரடியாக இயக்கவும் உங்களை அனுமதிக்கிறது. சுவாரஸ்யமாக, கடந்த ஆண்டு இதேபோன்ற பாதிப்பு ஏற்கனவே லைவ் அரட்டையில் (CVE-2018-12426) அடையாளம் காணப்பட்டது, இது ஒரு படத்தின் போர்வையில் PHP குறியீட்டை ஏற்ற அனுமதித்தது, உள்ளடக்க வகை புலத்தில் வேறுபட்ட உள்ளடக்க வகையைக் குறிப்பிடுகிறது. பிழைத்திருத்தத்தின் ஒரு பகுதியாக, அனுமதிப்பட்டியல் மற்றும் MIME உள்ளடக்க வகைக்கான கூடுதல் சரிபார்ப்புகள் சேர்க்கப்பட்டுள்ளன. அது மாறிவிடும், இந்த காசோலைகள் தவறாக செயல்படுத்தப்படுகின்றன மற்றும் எளிதாக கடந்து செல்ல முடியும்.
குறிப்பாக, ".php" நீட்டிப்புடன் கோப்புகளை நேரடியாகப் பதிவேற்றுவது தடைசெய்யப்பட்டுள்ளது, ஆனால் பல சேவையகங்களில் PHP மொழிபெயர்ப்பாளருடன் தொடர்புடைய ".phtml" நீட்டிப்பு தடுப்புப்பட்டியலில் சேர்க்கப்படவில்லை. அனுமதிப்பட்டியல் படப் பதிவேற்றங்களை மட்டுமே அனுமதிக்கிறது, ஆனால் இரட்டை நீட்டிப்பைக் குறிப்பிடுவதன் மூலம் அதைத் தவிர்க்கலாம், எடுத்துக்காட்டாக, “.gif.phtml”. கோப்பின் தொடக்கத்தில் உள்ள MIME வகை சரிபார்ப்பைத் தவிர்க்க, PHP குறியீட்டைக் கொண்டு குறிச்சொல்லைத் திறப்பதற்கு முன், "GIF89a" என்ற வரியைக் குறிப்பிடுவது போதுமானது.
ஆதாரம்: opennet.ru