今回もセキュリティアップデートを含むので早めに更新しましょう
今回のリリース情報を見るとセキュリティアップデートが 7 件含まれています。
WordPress 3.5.2 がご利用いただけるようになりました。12件のバグを修正するバージョン 3.5 のメンテナンスリリースです。これはセキュリティリリースであり、過去すべてのバージョンをお使いの方に対してサイトを今すぐ更新することを強くおすすめします。WordPress セキュリティチームは今回7件のセキュリティに関する問題を解決し、その他のセキュリティ強化も含めました
via: WordPress › 日本語 « WordPress 3.5.2 メンテナンス & セキュリティリリース
http://ja.wordpress.org/2013/06/22/wordpress-3-5-2/
具体的なセキュリティ問題は以下の通り。セキュリティアップデートと言っても脆弱性対策からセキュリティ強化まで含まれています。クロスサイトスクリプティングやリクエストフォージェリが対策されていますので、できる限り早くアップデートすべきです。
今回対策された脆弱性とセキュリティ強化は以下の通り
- HTTP APIを経由した、サーバーサイドのリクエストフォージェリ (SSRF)をブロック。 CVE-2013-2199.
- 寄稿者が不正に投稿を公開できる問題と、別の投稿者を指定できる問題を解決。 CVE-2013-2200.
- クロスサイトスクリプティング (XSS) 脆弱性を修正するための SWFUpload 外部ライブラリの更新。CVE-2013-2205.
- パスワード保護された投稿のあるサイトに影響する DoS 攻撃の防止。 CVE-2013-2173.
- クロスサイトスクリプティング (XSS) 脆弱性を修正するための TinyMCE 外部ライブラリの更新。 CVE-2013-2204.
- メディアアップロード中のクロスサイトスクリプティング (XSS) 脆弱性の修正。 CVE-2013-2201.
- ファイルアップロード中のフルパス公開 (FPD) を修正。 CVE-2013-2203.
- メディア編集中のクロスサイトスクリプティング (XSS) 脆弱性を修正。 CVE-2013-2201.
- プラグインやテーマをインストールまたはアップグレードしている最中のクロスサイトスクリプティング (XSS) 脆弱性を修正。 CVE-2013-2201.
- oEmbedを経由した、External Entity Injection (XXE) の修正。 CVE-2013-2202.
アップデートしても大丈夫か?
まず、一点注意があります。今回はデータベースのスキーマが変更されますので、きちんとバックアップを取ってから実施しましょう。WordPress をカスタマイズしていると必ずつきまとう、ベースをアップデートしても問題ないか、という確認。まずはファイルリストを見てみましょう。
今回修正されたファイルの一覧は以下の通り。
- readme.html
- wp-admin/includes/media.php
- wp-admin/includes/class-wp-importer.php
- wp-admin/includes/file.php
- wp-admin/includes/post.php
- wp-admin/includes/upgrade.php
- wp-admin/includes/schema.php
- wp-admin/includes/class-wp-upgrader.php
- wp-admin/includes/update-core.php
- wp-admin/update.php
- wp-admin/about.php
- wp-admin/edit-form-advanced.php
- wp-login.php
- wp-includes/class-wp-xmlrpc-server.php
- wp-includes/rss.php
- wp-includes/functions.php
- wp-includes/formatting.php
- wp-includes/post.php
- wp-includes/media-template.php
- wp-includes/deprecated.php
- wp-includes/wp-db.php
- wp-includes/user.php
- wp-includes/class-wp-admin-bar.php
- wp-includes/version.php
- wp-includes/class-phpass.php
- wp-includes/comment.php
- wp-includes/pluggable.php
- wp-includes/class-feed.php
- wp-includes/script-loader.php
- wp-includes/class-http.php
- wp-includes/js/media-editor.min.js
- wp-includes/js/swfupload/swfupload-all.js
- wp-includes/js/swfupload/handlers.js
- wp-includes/js/swfupload/handlers.min.js
- wp-includes/js/swfupload/swfupload.swf
- wp-includes/js/plupload/handlers.js
- wp-includes/js/plupload/handlers.min.js
- wp-includes/js/tinymce/wp-tinymce.js.gz
- wp-includes/js/tinymce/plugins/media/moxieplayer.swf
- wp-includes/js/tinymce/tiny_mce.js
- wp-includes/js/media-editor.js
- wp-includes/class-oembed.php
- wp-includes/post-template.php
- wp-includes/http.php
それなりの数のファイルに修正が入っていますが、これらのファイルやこれらのファイルで定義されている関数をいじっていることはレアケースでしょう。もし、これらのファイルに関するカスタマイズをしている場合は、アップデートに成功してもカスタマイズした内容に脆弱性が残ることもあるので、必ず修正差分を確認するようにしましょう。
修正差分はここから確認できます。
branches/3.5 (log) – WordPress Trac
また、今回は WP Multibyte Patch はアップデートは無いようです。
セキュリティアップデートを急がないといけないのはなぜ?
セキュリティ対策を急がないといけないのは「危ないから」なのですが、その危なさはパッチ公開時以降に深刻になることがあります。脆弱性情報は稀にパッチ公開前に広く知れ渡ってしまい、ゼロデイアタックが発生してしまう場合もありますが、セキュリティ上の問題を発見した時には公にはせず、きちんとしたセキュリティ対策が行われる(パッチがリリースされる)までは秘密裏にしておくことが基本です。
今回も WordPress 3.5/3.5.1 の脆弱性は正しい手順に則って対応されたことが伺えます。
これらの問題についてセキュリティチームに直接ご報告いただくという、責任を持った情報公開に感謝します。変更点についてさらに詳しい情報はリリースノートまたは変更点一覧をご覧ください。
via: WordPress › 日本語 « WordPress 3.5.2 メンテナンス & セキュリティリリース
http://ja.wordpress.org/2013/06/22/wordpress-3-5-2/
ここに書かれている「セキュリティチームに直接ご報告いただく」というのが、セキュリティ上の問題を公知にしないで対策を進めることができた、という意味になります。
しかし、パッチがリリースされたということは、セキュリティ上の問題が具体的に何なのかが公知のものとなりました。つまり、悪意があれば攻撃することができる具体的な問題が世の中に公開されたということです。修正されたソースコードを見れば、逆に何が問題だったのかが分かるのがソフトウェアの怖いところ。古いバージョンの WordPress を探して、この脆弱性を悪用できるのです。
したがって、パッチが公開された今だからこそ、できるだけ早く更新することが望ましいですね。
WordPress 関連のエントリ
インストールや設定変更とデータ移行
プラグイン
バージョンアップ
カスタマイズ
Stinger 3関連
チューニング
MAMPを使ったバックアップサイトの構築
開発関連
最後まで読んでいただきありがとうございます。
左のアイコンをクリックして、このブログを Feedly に登録していただけると嬉しいですFacebook ページでも情報を発信していますのでよろしかったら「いいね!」をお願いします
RSSリーダへの登録は こちら からどうぞ。
No commented yet.