以下は、John Blackbourn が書いた WordPress.org 公式ブログの記事、「WordPress 4.9.1 Security and Maintenance Release」を訳したものです。
誤字脱字誤訳などありましたらフォーラムまでお知らせください。
WordPress 4.9.1 が公開されました。これは WordPress 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンスリリースとなります。今すぐにサイトの更新を行うことを強くおすすめします。
WordPress 4.9 とそれ以前のバージョンは、マルチベクター攻撃の対象となり得る4つのセキュリティ問題の影響を受けます。コアチームの継続的なセキュリティ強化の取り組みにより、4.9.1 には、次の修正が行われました。
- 特定の部分文字列の代わりに、正しく生成されたハッシュを
newbloguserキーに使用。 html要素の言語属性にエスケープ処理を追加。- RSS と Atom フィードで enclosure の属性が正しくエスケープされていることを確認。
unfiltered_html権限を持たないユーザーの JavaScript ファイルのアップロード機能を削除。
これらの問題について、責任あるセキュリティ情報開示を実践してくださった報告者、Rahul Pratap Singh と John Blackbourn に感謝いたします。
WordPress 4.9.1 では、その他に11個のバグが修正されました。特筆すべきは以下です。
- テーマテンプレートファイルのキャッシュに関する問題。
- MediaElement の JavaScript エラーが特定言語のユーザーのファイルアップロードを阻害する問題。
- Windows ベースのサーバーでテーマとプラグインファイルが編集できない問題。
こちらの記事に 4.9.1 で修正されたすべての問題についての詳細情報が書かれています。
WordPress 4.9.1 (日本語版) をダウンロード、または「ダッシュボード」 → 「更新」へ行き「今すぐ更新」をクリックしてください。自動バックグラウンド更新が有効なサイトでは、すでに WordPress 4.9.1 への自動更新が始まっています。
WordPress 4.9.1 に貢献してくださったすべての方々に感謝いたします:
Alain Schlesser, Andrea Fercia, Angelika Reisiger, Blobfolio, bobbingwide, Chetan Prajapati, Dion Hulse, Dominik Schilling (ocean90), edo888, Erich Munz, Felix Arntz, Florian TIAR, Gary Pendergast, Igor Benic, Jeff Farthing, Jeffrey Paul, jeremyescott, Joe McGill, John Blackbourn, johnpgreen, Kelly Dwan, lenasterg, Marius L. J., Mel Choyce, Mário Valney, natacado, odyssey, precies, Saša, Sergey Biryukov, and Weston Ruter.