WordPress.org

ニュース

WordPress 3.9.2 セキュリティリリース

WordPress 3.9.2 セキュリティリリース


以下は、Andrew Nacin が書いた WordPress.org 公式ブログの記事、「WordPress 3.9.2 Security Release」を訳したものです。

WordPress 3.9.2 の日本語版は現在準備中です。
WordPress 3.9.2 の日本語版はこちらからダウンロードできます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください


過去すべてのバージョンに対するセキュリティリリースとして WordPress 3.9.2 がご利用いただけるようになりました。サイトをいますぐ更新されることを強くおすすめします。

このリリースでは、Salesforce.com のプロダクトセキュリティチームの Nir Goldshlager によって報告された PHP の XML 処理に含まれるサービス妨害 (DoS) 問題の可能性を修正しています。WordPress セキュリティチームの Michael Adams と Andrew Nacin、そして Drupal セキュリティチームの David Rothstein が修正を行いました。2つのプロジェクトがセキュリティリリースのために共同で調整を行ったのは今回が初めてのことです。

WordPress 3.9.2 には他のセキュリティ関連の変更も含まれています。

  • WordPress セキュリティチームの Alex Concha が発見した、ウィジェットを処理する際に低い確立でコードが実行される可能性のある問題を修正 (WordPress はデフォルトではこの影響を受けません) 。
  • ONSec の Ivan Novikov によって報告された、外部 GetID3 ライブラリでの XML 実体参照攻撃を通じた情報の開示を防止。
  • Google セキュリティチームの David Tomaschik によって報告された、CSRF トークンへの総当たり攻撃に対する保護を追加。
  • 管理者のみによってトリガーされる可能性のあるクロスサイトスクリプティングの防止など、追加のセキュリティ強化。

これらの問題に対し、私たちのセキュリティチームに責任ある情報開示をしてくださったことに感謝します。さらに詳しい情報についてはリリースノートまたは変更点一覧をご覧ください。

WordPress 3.9.2 (英語版、日本語版はこちら) をダウンロードするか、「ダッシュボード 更新」へ移動して「いますぐ更新」をクリックしてください。

自動バックグラウンド更新に対応しているサイトは12時間以内に WordPress 3.9.2 へ更新されます (もしまだ WordPress 3.8.3 または 3.7.3 をお使いの場合も、3.8.4 または 3.7.4 に自動更新されます。過去のバージョンはサポートしていませんので、最新の 3.9.2 にぜひアップグレードして下さい) 。

WordPress 4.0 をすでにテスト中の方へ。ベータ3がすでにダウンロード可能 (zip) になっており、これらのセキュリティ修正が含まれています。