WordPress 3.9.2 セキュリティリリース

以下は、Andrew Nacin が書いた WordPress.org 公式ブログの記事、「WordPress 3.9.2 Security Release」を訳したものです。

WordPress 3.9.2 の日本語版は現在準備中です。
WordPress 3.9.2 の日本語版はこちらからダウンロードできます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください


過去すべてのバージョンに対するセキュリティリリースとして WordPress 3.9.2 がご利用いただけるようになりました。サイトをいますぐ更新されることを強くおすすめします。

このリリースでは、Salesforce.com のプロダクトセキュリティチームの Nir Goldshlager によって報告された PHP の XML 処理に含まれるサービス妨害 (DoS) 問題の可能性を修正しています。WordPress セキュリティチームの Michael Adams と Andrew Nacin、そして Drupal セキュリティチームの David Rothstein が修正を行いました。2つのプロジェクトがセキュリティリリースのために共同で調整を行ったのは今回が初めてのことです。

WordPress 3.9.2 には他のセキュリティ関連の変更も含まれています。

  • WordPress セキュリティチームの Alex Concha が発見した、ウィジェットを処理する際に低い確立でコードが実行される可能性のある問題を修正 (WordPress はデフォルトではこの影響を受けません) 。
  • ONSec の Ivan Novikov によって報告された、外部 GetID3 ライブラリでの XML 実体参照攻撃を通じた情報の開示を防止。
  • Google セキュリティチームの David Tomaschik によって報告された、CSRF トークンへの総当たり攻撃に対する保護を追加。
  • 管理者のみによってトリガーされる可能性のあるクロスサイトスクリプティングの防止など、追加のセキュリティ強化。

これらの問題に対し、私たちのセキュリティチームに責任ある情報開示をしてくださったことに感謝します。さらに詳しい情報についてはリリースノートまたは変更点一覧をご覧ください。

WordPress 3.9.2 (英語版、日本語版はこちら) をダウンロードするか、「ダッシュボード → 更新」へ移動して「いますぐ更新」をクリックしてください。

自動バックグラウンド更新に対応しているサイトは12時間以内に WordPress 3.9.2 へ更新されます (もしまだ WordPress 3.8.3 または 3.7.3 をお使いの場合も、3.8.4 または 3.7.4 に自動更新されます。過去のバージョンはサポートしていませんので、最新の 3.9.2 にぜひアップグレードして下さい) 。

WordPress 4.0 をすでにテスト中の方へ。ベータ3がすでにダウンロード可能 (zip) になっており、これらのセキュリティ修正が含まれています。