WordPress 4.0.1 セキュリティリリース

以下は、Andrew Nacin が書いた WordPress.org 公式ブログの記事、「WordPress 4.0.1 Security Release」を訳したものです。

WordPress 4.0.1 の日本語版は現在準備中です。
WordPress 4.0.1 の日本語版はこちらからダウンロードできます

誤字脱字誤訳等ありましたらフォーラムまでお知らせください


WordPress 4.0.1が利用可能になりました。このリリースは、これまでのすべてのバージョンのための重要なセキュリティリリースであり、すぐにサイトを更新することを強くお勧めします。

自動バックグラウンド更新をサポートしているサイトは、今後数時間以内のうちに WordPress 4.0.1に更新されます。WordPress 3.9.2、3.8.4、または3.7.4にとどまっている場合は、安全性を維持するために3.9.3、3.8.5、または3.7.5に更新されます。(古いバージョンはサポートされません。最新の 4.0.1にアップデートするようにしてください)

WordPress のバージョン3.9.2およびそれ以前のバージョンのサイトは、匿名ユーザーによるサイトへの不正侵入を招くかもしれない重大なクロスサイトスクリプティング脆弱性の影響を受けています。これは Jouko Pynnonen によって報告されました。この問題はバージョン4.0には影響しませんが、バージョン4.0.1は以下の8つのセキュリティ問題に対処しています。

  • 寄稿者または投稿者によってサイトを侵害するために使用できるかもしれない3件のクロスサイトスクリプティングの問題。これは WordPress のセキュリティチームの Jon CaveRobert Chapin、そして Robert Chapin によって発見されました。
  • 自分のパスワードを変更するようにユーザーをだますのに使用されるかもしれないクロスサイトリクエストフォージェリ。
  • パスワードのチェック時にサービス妨害を招きかねない問題。Javier Nieto ArevaloAndres Rojas Guerrero によって報告されました。
  • WordPress が HTTP 要求を行うときのサーバー側リクエストフォージェリ攻撃のための追加的な保護。Ben Bidner (vortfu) によって報告されました。
  • 極めてまれなハッシュ衝突と2008年以降ログインしていない場合 (冗談ならいいんですが) にユーザーのアカウントが危険にさらされる可能性。David Anderson によって報告されました。。
  • (パスワードのリセット作業手続き開始後に)ユーザーが自分のパスワードを覚えていてログインし、自分のメールアドレスを変更した場合、WordPress はパスワードリセットメール内のリンクを無効にするようにしました。この件は Momen BasselTanoy Bose、および ManageWP の Bojan Slavković によって別々に報告されました。

バージョン4.0.1はまた、4.0の23個のバグを修正し、アップロードされた写真から抽出する EXIF データのより良いバリデーションを含む2件のセキュリティ強化のための変更を行いました。Chris Andrè Dale によって報告されました。

これらの情報が直接わたしたちのセキュリティチームに責任をもって開示されたことに感謝します。このリリースの詳細については、リリースノートまたは変更リストを参照してください 。

では、WordPress 4.0.1をダウンロードするかダッシュボード→アップデートを開き「いますぐ更新」をクリックしてください。

すでに WordPress 4.1をテスト中ですか?であれば、これらのセキュリティ修正が含まれた2つ目のベータ版が利用可能になっています (zip)。4.1の詳細については ベータ1のアナウンスご覧ください 。