今回は、セキュリティアップデート、早めにアップデートしましょう。
変更点
今回のリリース 3.8.2 はセキュリティリリースです。修正された内容は
- ピンバックを処理する際にホストが不正なリクエストを認識できるよう、追加情報を渡すことにした。
- 信頼できるユーザーによる影響度の低い SQL インジェクション脆弱性を修正。dxw の Tom Adams からの報告。
- Pulupload (WordPress のファイルアップロードに使われているサードパーティ製ライブラリ) を通じたクロスドメインスクリプティングの可能性を防ぐようにした。Szymon Gruszecki からの報告。
via: WordPress › 日本語 « WordPress 3.8.2 セキュリティリリース
http://ja.wordpress.org/2014/04/09/wordpress-3-8-2/
となっています。
ピンバックの修正はリモートのIPアドレスを渡すなど、例の踏み台の対策の一環のようですね。
修正されたファイル
実際に手の入ったファイルは次のファイルになります。特段の問題はないファイル群のはずなので、できるだけ早くアップデートされることをお勧めします。
- wp-admin/about.php
- wp-admin/themes.php
- wp-admin/includes/post.php
- wp-admin/includes/class-wp-posts-list-table.php
- wp-admin/includes/class-wp-upgrader.php
- wp-includes/class-wp-xmlrpc-server.php
- wp-includes/bookmark.php
- wp-includes/query.php
- wp-includes/pluggable.php
- wp-includes/post-template.php
- wp-includes/update.php
- wp-includes/version.php
- wp-includes/js/plupload/plupload.silverlight.xap
- readme.html
via: Version 3.8.2 « WordPress Codex
http://codex.wordpress.org/Version_3.8.2
より詳細なバグ情報を知りたい方は以下をご覧ください。
branches/3.8 (log) – WordPress Trac
ちょっと余談
今回のセキュリティアップデートは自動アップデートされました。セキュリティアップデートはきちんとやった方が良いので自動アップデートに設定していたのです。でも、3.8.1 は忙しかったりで放置していたのですが…3.8.2がセキュリティアップデートだと、当たり前の話なのですが 3.8.1 も含めて自動アップデートされます。
ちょっと驚きました。3.8.1 での検証がすんでいないのにアップデートされてしまったのはきついですね。マイナーアップデートに対する自動アップデートはいつでもアップデートするか、全くしないか、のどちらかに倒しておいた方が良いみたいです(というか、セキュリティアップデートのみ、とかを指定する意味がない)。
メジャーアップデートは自動でしない方が良いと未だに思っています。来週にも 3.9 がリリースされるという情報もあるみたいですので、気をつけないといけませんね。
最後まで読んでいただきありがとうございます。
左のアイコンをクリックして、このブログを Feedly に登録していただけると嬉しいですFacebook ページでも情報を発信していますのでよろしかったら「いいね!」をお願いします
RSSリーダへの登録は こちら からどうぞ。
コメントを残す