以下は Andrew Nacin が書いた WordPress.org 公式ブログの記事、「WordPress 3.3.2 (and WordPress 3.4 Beta 3)」を訳したものです。
WordPress 3.3.2 日本語版はこちらからダウンロードできます。
WordPress 3.4 ベータ 3 日本語版はこちらからダウンロードできます。
WordPress 3.3.2 が利用できるようになりました。これはすべての前バージョンへのセキュリティアップデートです。
WordPress に含まれる3つの外部ライブラリでセキュリティアップデートがありました:
- Plupload (バージョン 1.5.4)、WordPress ではメディアのアップロードに使用しています。
- SWFUpload、WordPress では以前にメディアのアップロードに使用していました。おそらくプラグインによってはまだ使われています。
- SWFObject、WordPress では以前に Flash コンテンツの埋め込みに使用していました。おそらくプラグインやテーマによってはまだ使われています。
Plupload と SWFUpload のバグについて責任をもって公表してくれた Neal Poole と Nathan Partlan に感謝します。また、SWFUpload の別のバグを報告してくれた Szymon Gruszecki にも感謝します。
WordPress 3.3.2 はまた、次を修正しています:
- 特定の状況下で WordPress のネットワーク運用時にサイト管理者がネットワーク全体でプラグインを停止できる制限された権限昇格。WordPress コアセキュリティチームの Jon Cave と Adam Backstrom によって明らかにされました。
- URL をクリッカブルにするときのクロスサイトスクリプティング脆弱性。 Jon Cave によって明らかにされました。
- 古いブラウザーのコメント投稿後のリダイレクトおよび URL のフィルタリング時のクロスサイトスクリプティング脆弱性。この問題を責任をもってセキュリティチームに明らかにしてくれた Mauro Gentile に感謝します。
以上の問題が WordPress コアセキュリティチームによって修正されました。また、バージョン 3.3.2 では他に5つのバグも修正されています。詳細は変更履歴を御覧ください。
WordPress 3.3.2 をダウンロード(英語版、日本語版はこちら)するか、ダッシュボードの「更新」からアップデートしてください。
WordPress 3.4 ベータ 3 も利用できます
WordPress 3.4 の開発も続いています。今日、テスト用にベータ3をリリースしました。9日前にリリースされたベータ2から90近くの変更がありました。(ベータ版の毎週リリースを目指しています)
これはまだベータ版のソフトウェアであり、プロダクションサイト上で動かすのは決しておすすめしません。ただし、プラグインの開発者の方やテーマの開発者の方、もしくはサイト管理者の方はぜひテスト環境で稼働させて、もしバグを見つけたら報告してください。(既知の問題はこちらをご覧ください) どうしてもプレゼントを早く開けたい WordPress のユーザーの方は、WordPress の簡単5分インストールを活用して素早くもうひとつのテストサイトを立ち上げましょう。そしてご意見をお聞かせください !
バージョン3.4 ベータ3ではバージョン3.3.2の修正をすべて含んでいます。WordPress 3.4 ベータ 3をダウンロードするか、WordPress Beta Tester プラグインをご利用ください。