WordPress 3.8.2 セキュリティリリース

以下は、Andrew Nacin が書いた WordPress.org 公式ブログの記事、「WordPress 3.8.2 Security Release」を訳したものです。

WordPress 3.8.2 の日本語版はこちらからダウンロードできます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください


WordPress 3.8.2 がご利用いただけるようになりました。これは過去のバージョンすべてに対する重要なセキュリティリリースで、サイトをすぐにアップグレードすることを強くおすすめします。

このリリースでは認証 Cookie を偽装することで攻撃者がサイトに侵入できてしまう可能性がある脆弱性を修正しました。この問題は WordPress セキュリティチームの Jon Cave が発見し、修正を行いました。

また、寄稿者権限を持つユーザーが投稿を不適切に公開できてしまうバグの修正も含まれています。edik により報告されました。

今回のリリースは、他にも9つのバグ修正と3つのセキュリティ強化に関する変更を含んでいます。

  • ピンバックを処理する際にホストが不正なリクエストを認識できるよう、追加情報を渡すことにした。
  • 信頼できるユーザーによる影響度の低い SQL インジェクション脆弱性を修正。dxw の Tom Adams からの報告。
  • Pulupload (WordPress のファイルアップロードに使われているサードパーティ製ライブラリ) を通じたクロスドメインスクリプティングの可能性を防ぐようにした。Szymon Gruszecki からの報告。

これらのセキュリティ問題を安全な方法でセキュリティチームに直接ご報告いただきありがとうございます。すべての変更についての詳しい情報は、リリースノートまたは変更一覧をご覧ください。

WordPress 3.8.2 をダウンロードする (英語版) か、管理画面の「ダッシュボード → 更新」で「いますぐ更新」をクリックしてください。

自動バックグラウンド更新に対応しているサイトは12時間以内に WordPress 3.8.2 へ自動的に更新されます。まだ WordPress 3.7.1 をお使いの場合は、3.7.2 へ更新されます。こちらにも 3.8.2 と同様のセキュリティ修正が含まれています。旧バージョンはサポート外ですので、ぜひ 3.8.2 にアップグレードしてください。

WordPress 3.9 をすでにテスト中の方は RC 1 版がご利用いただけます (zip、英語版) 。こちらにも同じくセキュリティ修正が含まれています。後ほど詳しい告知を行いますが、3.9 は来週リリースの予定です。