以下は、Samuel Sidlerが書いたWordPress.org公式ブログの記事、「WordPress 4.2.2 Security and Maintenance Release」を訳したものです。
WordPress 4.2.2の日本語版についてはこちらからダウンロードいただけます。
誤字脱字誤訳等ありましたらフォーラムまでお知らせください。
WordPress 4.2.2が利用可能になりました。これは以前のすべてのバージョンに対する重大なセキュリティリリースですので、ただちにサイトを更新することを強く推奨します。
バージョン4.2.2では二つのセキュリティの問題を解決しました:
- 数多くの人気テーマやプラグインで使用されているGenericonsアイコンフォントのパッケージはクロスサイトスクリプティングの攻撃に脆弱なHTMLファイルを含んでいました。WordPress.orgでホストされている、すべての影響を受けるテーマとプラグイン(Twenty Fifteenデフォルトテーマを含む)は今日、WordPressセキュリティチームによって、この意味のないファイルを削除し、この問題を解決するためにアップデートされました。他のGenericonsの使用を保護するため、WordPress 4.2.2はこのHTMLファイルについてwp-contentディレクトリを率先してスキャンし、除去します。NetsparkerのRobert Abelaによって報告されました。
- WordPressのバージョン4.2とそれ以前は匿名のユーザがサイトを危険にさらすことが可能な重大なクロスサイトスクリプティングの脆弱性の影響を受けます。WordPress 4.2.2はこの問題に対する包括的な修正を含みます。Rice AduとTong Shiによって報告されました。
このリリースはビジュアル・エディターを使用している場合の潜在的なクロスサイト・スクリプティングの脆弱性への強化も含みます。この問題はMahadev Subediによって報告されました。
セキュリティの問題の責任ある開示を行っていただいた方々に感謝いたします。
WordPress 4.2.2は4.2からの13のバグの修正も含まれています。詳細な情報はリリースノートか変更の一覧をご確認ください。
WordPress 4.2.2をダウンロードするかダッシュボード → 更新に進み、「今すぐ更新」をクリックしてください。自動バックグラウンド更新をサポートしているサイトでは既にWordPress 4.2.2への更新が始まっています。
4.2.2に貢献いただいた皆さんに感謝いたします:
Aaron Jorbin, Andrew Ozz, Andrew Nacin, Boone Gorges, Dion Hulse, Ella Iseulde Van Dorpe, Gary Pendergast, Hinaloe, Jeremy Felt, John James Jacoby, Konstantin Kovshenin, Mike Adams, Nikolay Bachiyski, taka2, and willstedt.