WordPress

[WP] WordPress 3.8.2 セキュリティリリースが出ています

自動アップデートにしている人はすでにアップデートが始まっていることと思います。@azur256 です。

今回は、セキュリティアップデート、早めにアップデートしましょう。



WP382 001

変更点


今回のリリース 3.8.2 はセキュリティリリースです。修正された内容は

  • ピンバックを処理する際にホストが不正なリクエストを認識できるよう、追加情報を渡すことにした。
  • 信頼できるユーザーによる影響度の低い SQL インジェクション脆弱性を修正。dxw の Tom Adams からの報告。
  • Pulupload (WordPress のファイルアップロードに使われているサードパーティ製ライブラリ) を通じたクロスドメインスクリプティングの可能性を防ぐようにした。Szymon Gruszecki からの報告。

via: WordPress › 日本語 « WordPress 3.8.2 セキュリティリリース
http://ja.wordpress.org/2014/04/09/wordpress-3-8-2/

となっています。
ピンバックの修正はリモートのIPアドレスを渡すなど、例の踏み台の対策の一環のようですね。

修正されたファイル


実際に手の入ったファイルは次のファイルになります。特段の問題はないファイル群のはずなので、できるだけ早くアップデートされることをお勧めします。

  • wp-admin/about.php
  • wp-admin/themes.php
  • wp-admin/includes/post.php
  • wp-admin/includes/class-wp-posts-list-table.php
  • wp-admin/includes/class-wp-upgrader.php
  • wp-includes/class-wp-xmlrpc-server.php
  • wp-includes/bookmark.php
  • wp-includes/query.php
  • wp-includes/pluggable.php
  • wp-includes/post-template.php
  • wp-includes/update.php
  • wp-includes/version.php
  • wp-includes/js/plupload/plupload.silverlight.xap
  • readme.html

via: Version 3.8.2 « WordPress Codex
http://codex.wordpress.org/Version_3.8.2


より詳細なバグ情報を知りたい方は以下をご覧ください。
branches/3.8 (log) – WordPress Trac

ちょっと余談

今回のセキュリティアップデートは自動アップデートされました。セキュリティアップデートはきちんとやった方が良いので自動アップデートに設定していたのです。
でも、3.8.1 は忙しかったりで放置していたのですが…3.8.2がセキュリティアップデートだと、当たり前の話なのですが 3.8.1 も含めて自動アップデートされます。

ちょっと驚きました。3.8.1 での検証がすんでいないのにアップデートされてしまったのはきついですね。マイナーアップデートに対する自動アップデートはいつでもアップデートするか、全くしないか、のどちらかに倒しておいた方が良いみたいです(というか、セキュリティアップデートのみ、とかを指定する意味がない)。

メジャーアップデートは自動でしない方が良いと未だに思っています。来週にも 3.9 がリリースされるという情報もあるみたいですので、気をつけないといけませんね。



最後まで読んでいただきありがとうございます。

follow us in feedly 左のアイコンをクリックして、このブログを Feedly に登録していただけると嬉しいです


Facebook ページでも情報を発信していますのでよろしかったら「いいね!」をお願いします

RSSリーダへの登録は こちら からどうぞ。

URL
TBURL

コメントを残す

*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

フェイスブックでのコメント

Return Top