WordPress 3.5.2 メンテナンス & セキュリティリリース

以下は、Andrew Nacin が書いた WordPress.org 公式ブログの記事、「WordPress 3.5.2 Maintenance and Security Release」を訳したものです。

WordPress 3.5.2 日本語版はこちらからダウンロードしてください。


WordPress 3.5.2 がご利用いただけるようになりました。12件のバグを修正するバージョン 3.5 のメンテナンスリリースです。これはセキュリティリリースであり、過去すべてのバージョンをお使いの方に対してサイトを今すぐ更新することを強くおすすめします。WordPress セキュリティチームは今回7件のセキュリティに関する問題を解決し、その他のセキュリティ強化も含めました

修正したセキュリティ関連の問題は以下の通りです。

  • 攻撃者がサイトへのアクセスを得られる可能性を持つサーバーサイドのリクエストフォージェリをブロック。
  • Konstantin Kovshenin によって報告された寄稿者が不正に投稿を公開できる問題と、Luke Bryan によって報告された別の投稿者を指定できる問題を解決。
  • クロスサイトスクリプティング脆弱性を修正するための SWFUpload 外部ライブラリの更新。 mala および Szymon Gruszecki による指摘。
  • パスワード保護された投稿のあるサイトに影響する DoS 攻撃の防止。
  • クロスサイトスクリプティング脆弱性を修正するための TinyMCE 外部ライブラリの更新。Wan Ikram による報告。
  • クロスサイトスクリプティングに対する複数の修正。Andrea Santese および Rodrigo による報告。
  • アップロードファイルのファイルパスをすべて公開しないようにした。Jakub Galczyk による報告。

これらの問題についてセキュリティチームに直接ご報告いただくという、責任を持った情報公開に感謝します。変更点についてさらに詳しい情報はリリースノートまたは変更点一覧をご覧ください。

WordPress 3.5.2 をダウンロード (日本語版) するか、サイトの管理画面で「ダッシュボード → 更新」メニューからアップグレードしてください。

追記: WordPress 3.6 をテストしている方へお知らせです。WordPress 3.6 Beta 4 英語版 (zip) にも、こちらのセキュリティフィックスが含まれています。

追記2 (6月28日) : WordPress 3.6 Beta 4 日本語版をリリースしました。