Nul
Dennis Nicolai Andersen, ZDNet [extra bewerkingen]Een absurde aantal van CMS plugins en PHP libraries zijn het uitschakelen van SSL/TLS-certificaat te valideren op doel, en door dit te doen, ze zetten miljoenen internet gebruikers in groot gevaar.
Tot overmaat van ramp zijn veel van deze plugins en bibliotheken worden gebruikt om verbindingen tot stand te payment provider servers, verbindingen, waardoor ze later verzenden van gevoelige gegevens van de gebruiker of het afhandelen van financiële transacties.
Deze belangrijke, maar minder bekende, beveiligingsprobleem was ontdekt en ZDNet de aandacht door Scott Arciszewski, Chief Development Officer bij Paragon Initiatief Enterprise.
Het probleem schuilt in hoe de auteurs van CMS plugins en PHP libraries zijn het configureren van hun code, en in het bijzonder een aantal krullen opties.
krul is een command-line utility te vinden op alle web hosting servers, die wordt gebruikt voor het overbrengen van gegevens naar en van externe servers. krul ‘ s gebruik is alomtegenwoordig in het web ontwikkeling van de gemeenschap, en veel CMS plugins en PHP libraries gebruiken om te downloaden, te verzenden, en het uploaden van gegevens naar externe servers via de server van de onderliggende console, in plaats van het openen van de werkelijke browser sessies voor elke verbinding.
krul ondersteunt een bos van protocollen, zoals het openen van verbindingen via HTTP, FTP, SMTP, POP3, LDAP, en meer.
Bijvoorbeeld, wanneer een WordPress plugin die omgaat met de financiële transacties ‘ Betaling Proces #46,” het maakt gebruik van krul-verbindingen in de achtergrond eigenlijk het uploaden van uw gevoelige credit card gegevens naar de payment provider servers. Dit gebeurt meestal via cURL-verbindingen instellen via HTTPS, voor die krullen ook bezig met SSL/TLS-certificaat te valideren, zijn een cruciale stap in het maken van zeker dat je aan het praten bent een legitieme HTTPS-server.
Maar Arciszewski heeft onlangs ontdekt dat de ontwikkelaars van veel CMS plugins en PHP libraries uitschakelen krullen beveiligingsfuncties voor als krul wordt gebruikt voor het downloaden of het verzenden van gegevens via HTTPS-verbindingen, zoals die hierboven.
Dit is een groot probleem, met name voor de gevallen waarin krullen is gebruikt voor het verwerken van financiële transacties en gevoelige gegevens van de gebruiker.
Met deze verbindingen onderhandeld via verzwakt HTTPS-verbindingen is een ramp staat te gebeuren, als het kan aanvallers gemakkelijk misleiden websites in het downloaden of versturen van legitieme gegevens om de kwaadaardige servers. Omdat de twee functies zijn uit de oorspronkelijke site niet tot waarschuwingen voor zowel gebruikers of de website-eigenaren.
De meeste devs zijn het uitschakelen van twee belangrijke krullen security-instellingen
Volgens Arciszewski, dit gebeurt omdat van de twee krullen instellingen die ontwikkelaars van CMS plugins en PHP libraries uitschakelen op doel.
De eerste is “CURLOPT_SSL_VERIFYHOST”, die vele plugins en bibliotheken ingesteld op “false” in plaats van “echte”.
Wat deze instelling betekent dat krul niet te controleren of de host URL ‘ s aansluiten voor het downloaden of uploaden van gegevens. Zolang de externe server heeft een geldig certificaat, ondertekend door elke willekeurige Certificaat Autoriteit, zoals de Laat-of te Versleutelen of Comodo, de server-URL kan worden legitimate-site.com of malicious-site.com en de website van waaruit de krullen aanvraag afkomstig is niet schelen.
De tweede krullen instelling die veel ontwikkelaars is het uitschakelen van “CURLOPT_SSL_VERIFYPEER”, die veel devs zijn instelling van “0” in plaats van de meer beveiligde “2” value.
Deze instelling betekent dat websites accepteren van verbindingen naar elke willekeurige HTTPS server, zelfs voor degenen die gebruik maken van self-signed certificaten.
“Dit stelt u zich bloot aan extreem triviale man-in-the-middle-aanvallen,” Arciszewski zei in een rapport dat vorige week gepubliceerd.
Dit is geen klein probleem dat kan worden genegeerd. Het probleem is zeer wijdverbreid in de PHP-gemeenschap, in het bijzonder.
Een vluchtige GitHub zoeken voor de eerste en tweede instellingen blijkt duizenden projecten waar ontwikkelaars zijn het uitschakelen van krullen certificaat te valideren, met inbegrip van in honderden WordPress plugins.
Een eenvoudige correctie is nu beschikbaar
Maar Arciszewski is niet uw typische security expert die alleen maar punten uit de problemen te fearmonger zijn weg naar een van je reputatie. Hij biedt ook een eenvoudige oplossing.
Als Arciszewski heeft er op gewezen dat in een recent rapport, en als de PHP-gemeenschap heeft bevestigd in Reddit discussies van deze week, de belangrijkste reden waarom er zo veel projecten zijn het uitschakelen van deze twee krullen heeft is omdat wanneer ingeschakeld, hebben ze de neiging om het genereren van enge security-gerelateerde fouten op klanten’ servers. Om te voorkomen dat alarmerende hun klanten, de meeste ontwikkelaars kiezen om die twee functies uit, terwijl onbewust weten wat ze echt doen.
De reden voor die fouten, als Arciszewski legt, is dat krul moet controleren of de certificaten van externe HTTPS-servers tegen een lijst van bekende en geldig SSL/TLS-certificaten.
Deze lijst van authentieke Certificaat Autoriteiten –organisaties toegelaten tot de uitgifte van SSL/TLS-certificaten– is beschikbaar voor download op veel plaatsen.
Helaas, sommige web hosting diensten niet bewaren deze lijst, terwijl vele opslaan in verschillende server locaties, waardoor het onmogelijk is te configureren krullen instellingen voor CMS plugins en PHP libraries in een universele manier die naadloos aansluit op alle servers.
Om dit probleem te verhelpen, Arciszewski heeft geleid tot een aangepaste PHP-bibliotheek met de naam Zekerheid dat de download dit bestand (cacert.pem) van de krul homepage op regelmatige tijdstippen en gastheer van het lokaal, het waarborgen van websites hebben altijd een up-to-date lijst van geldig Certificaat Autoriteiten.
CMS plugin, en PHP-bibliotheek kunnen de eigenaars van deze bibliotheek in hun projecten en schakel de twee krullen instellingen in hun projecten, zonder zich zorgen te maken over het triggeren van schrikken veiligheidswaarschuwingen daarna.
Zeker, een onzekere omgeving in een bibliotheek in een andere bibliotheek klinkt misschien als een onbelangrijke kwestie, maar wanneer dat onveilige instelling wordt gebruikt in duizenden projecten, die zonder belang is, wordt een internet-breed probleem en de vaststelling van het wellicht iets zo eenvoudig als het vrijgeven van betere instrumenten.
Arciszewski en zijn bedrijf, Paragonie, zijn bekend voor het vrijgeven van dergelijke “betere tools” in de afgelopen jaren, alle open-source en beschikbaar zijn op het bedrijf GitHub account.
VERWANTE DEKKING:
Ongeveer 62% van alle Internet sites zal het uitvoeren van een niet-ondersteunde PHP-versie in 10 wekenGoogle lanceert reCAPTCHA v3 die detecteert slechte verkeer zonder interactie van de gebruikerIETF keurt nieuwe internet standards to secure authentication tokensTwaalf schadelijke Python bibliotheken gevonden en verwijderd uit PyPIApple host 2.000 gratis codering lessen in de Europese winkels CNETWaarom Kotlin explosief in populariteit onder jonge ontwikkelaars TechRepublicWeb hosting providers drie dagen duurt, gemiddeld, om te reageren op misbruikNa twee decennia van PHP, sites die nog steeds gevoelige informatie via de debug modeMeerderheid van provinciale verkiezing websites in de 20 belangrijkste swing states gebruik non-.gov domeinen
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters
0