WordPress 4.9.1 セキュリティ・メンテナンスリリース

以下は、John Blackbourn が書いた WordPress.org 公式ブログの記事、「WordPress 4.9.1 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 4.9.1 が公開されました。これは WordPress 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンスリリースとなります。今すぐにサイトの更新を行うことを強くおすすめします。

WordPress 4.9 とそれ以前のバージョンは、マルチベクター攻撃の対象となり得る4つのセキュリティ問題の影響を受けます。コアチームの継続的なセキュリティ強化の取り組みにより、4.9.1 には、次の修正が行われました。

  1. 特定の部分文字列の代わりに、正しく生成されたハッシュを newbloguser キーに使用。
  2. html 要素の言語属性にエスケープ処理を追加。
  3. RSS と Atom フィードで enclosure の属性が正しくエスケープされていることを確認。
  4. unfiltered_html 権限を持たないユーザーの JavaScript ファイルのアップロード機能を削除。

これらの問題について、責任あるセキュリティ情報開示を実践してくださった報告者、Rahul Pratap Singh と John Blackbourn に感謝いたします。

WordPress 4.9.1 では、その他に11個のバグが修正されました。特筆すべきは以下です。

  • テーマテンプレートファイルのキャッシュに関する問題。
  • MediaElement の JavaScript エラーが特定言語のユーザーのファイルアップロードを阻害する問題。
  • Windows ベースのサーバーでテーマとプラグインファイルが編集できない問題。

こちらの記事に 4.9.1 で修正されたすべての問題についての詳細情報が書かれています

WordPress 4.9.1 (日本語版) をダウンロード、または「ダッシュボード」 → 「更新」へ行き「今すぐ更新」をクリックしてください。自動バックグラウンド更新が有効なサイトでは、すでに WordPress 4.9.1 への自動更新が始まっています。

WordPress 4.9.1 に貢献してくださったすべての方々に感謝いたします:

Alain Schlesser, Andrea Fercia, Angelika Reisiger, Blobfolio, bobbingwide, Chetan Prajapati, Dion Hulse, Dominik Schilling (ocean90), edo888, Erich Munz, Felix Arntz, Florian TIAR, Gary Pendergast, Igor Benic, Jeff Farthing, Jeffrey Paul, jeremyescott, Joe McGill, John Blackbourn, johnpgreen, Kelly Dwan, lenasterg, Marius L. J., Mel Choyce, Mário Valney, natacado, odyssey, precies, Saša, Sergey Biryukov, and Weston Ruter.

WordPress 4.8.3 セキュリティリリース

以下は、Gary Pendergast が書いた WordPress.org 公式ブログの記事、「WordPress 4.8.3 Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 4.8.3 が公開されました。これはセキュリティリリースです。過去のバージョンを使用しているすべてのサイトに対する即時のアップデートが強く推奨されます。

WordPress 4.8.2 以前のバージョンにおいて、$wpdb->prepare() が本来想定しない安全でないクエリーを出力する問題が確認され、この問題が SQL インジェクション (SQLi) に利用される可能性があります。WordPress 本体に関してはこの問題に対する直接的な脆弱性は認められていませんが、プラグインやテーマに不備が生じて脆弱性をもたらす危険性があり得るため、対応を強化しました。この問題は Anthony Ferrara により報告されました。

今回のリリースには esc_sql() 関数の挙動の変更が含まれます。大半の開発者はこの変更の影響を受けないものと思いますが、より詳細は開発者ノートを確認してください。

適切な情報開示に則ってこの問題の報告を行ってくださった皆さんに感謝します。

WordPress 4.8.3 (日本語版)をダウンロード、または [ダッシュボード] → [更新] メニューから「今すぐ更新」をクリック。自動バックグラウンド更新が有効なサイトではすでに WordPress 4.8.3 へのアップデートが始まっているでしょう。

WordPress 4.7.5 セキュリティ・メンテナンスリリース

以下は、Pascal Birchler が書いた WordPress.org 公式ブログの記事、「WordPress 4.7.5 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 4.7.5 が公開されました。これは過去のすべてのバージョンに対するセキュリティリリースですので、今すぐサイトの更新を行うことを強く勧めます。

WordPress 4.7.4 とそれ以前のバージョンは、以下の6件のセキュリティ問題の影響を受けます:

  1. HTTP クラスにおける不十分なリダイレクト妥当性確認。Ronni Skansing により報告された。
  2. XML-RPC API における投稿メタデータ値の不適切な操作。Sam Thomas により報告された。
  3. XML-RPC API 投稿メタデータ操作における権限確認の不足。WordPress セキュリティチームの Ben Bidner により報告された。
  4. ファイルシステム認証情報ダイアログに見つかったクロスサイトリクエストフォージェリ (CRSF) 脆弱性。Yorick Koster により報告された。
  5. 非常に大きいファイルのアップロードを試みた際に見られるクロスサイトスクリプティング (XSS) 脆弱性。Ronni Skansing により報告された。
  6. Customizer 関連のクロスサイトスクリプティング (XSS) 脆弱性。WordPress セキュリティチームの Weston Ruter により報告された。

適切なプロセスに則った報告に感謝します。

これらのセキュリティ関連の問題に加えて、WordPress 4.7.5 では3件のメンテナンス修正を行なっています。詳しくはリリースノート変更リストを参照してください。

WordPress 4.7.5 への更新は ダッシュボード > 更新 メニューから。自動バックグラウンド更新をサポートしているサイトではすでに更新のプロセスが進んでいるはずです。

4.7.5 に貢献されたすべての方々に感謝します。

WordPress が HackerOne での脆弱性報告受け付けを開始しました

以下は、Aaron D. Campbell が書いた WordPress.org 公式ブログの記事、「WordPress Now on HackerOne」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress は過去13年間で非常に成長しました。現在、Web 上のトップ1000万サイト中28%が WordPress で動いています。この成長の過程で、各チームはツールやプロセスを改善するために継続的に努力してきました。本日 WordPress セキュリティチームは、WordPress が公式に HackerOne 上に掲載されたことをお知らせできることを嬉しく思います。

HackerOne はセキュリティ研究者が安全かつ責任を持って脆弱性をチームに報告するためのプラットフォームです。報告者とのコミュニケーションの質や一貫性を向上させるツールを提供し、よく報告される問題への対応に費やす時間を削減します。これにより、私たちのチームは WordPress のセキュリティ改善のためにより多くの時間を費やすことができるようになります。

セキュリティチームはかなりの期間このプロジェクトを進めてきました。 Nikolay Bachiyski は1年以上前に専用チームを立ち上げ、私たちは手順やプロセスを工夫しながら非公開プログラムとして運用していました。ついに公開できることに、ワクワクしています。

WordPress HackerOneプログラムの発表とともに、バグ・バウンティ (賞金) も新たに導入しました。バグ・バウンティは、問題を発見し、私たちの製品やインフラを守るのを助けてくれる報告者に対し報酬を与えます。すでに7人の報告者に3,700米ドル (約42万円) 以上の賞金を授与しました。WordPress プロジェクトに代わって賞金を支払ってくれた、Automattic に感謝しています。

プログラムと賞金は、WordPress、BuddyPress、bbPress、GlotPress、WP-CLI、WordPress.org、bbPress.org、WordCamp.org、BuddyPress.org、GlotPress.org を含むすべてのサイトをカバーしています。

WordPress 4.7.3 セキュリティ・メンテナンスリリース

以下は、James Nylen が書いた WordPress.org 公式ブログの記事、「WordPress 4.7.3 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 4.7.3 が公開されました。これは過去の全バージョンのためのセキュリティリリースであり、即時のサイト更新を強く勧告するものです。

WordPress 4.7.2 およびその他過去のバージョンに、次の6件のセキュリティ上の問題が存在します:

  1. メディアファイルのメタデータを介したクロスサイトスクリプティング (XSS) 脆弱性。Chris Andrè DaleYorick Koster、Simon P. Briggs による報告。
  2. 制御文字を利用したリダイレクト URL 検証回避の可能性。Daniel Chatfield による報告。
  3. プラグイン削除を行う機能を利用して管理者による意図しないファイル削除が実行される可能性。xuliang による報告。
  4. YouTube 動画埋め込み URL を介したクロスサイトスクリプティング (XSS) 脆弱性。Daniel Cid による報告。
  5. タクソノミー語句名に関連したクロスサイトスクリプティング (XSS) 脆弱性。Delta による報告。
  6. Press This におけるクロスサイトリクエストフォージェリ (CSRF) によりサーバーリソースの過剰利用が引き起こされる問題。Sipke Mellema による報告。

適切なプロセスに則った報告に感謝します。

上記のセキュリティに関する問題に加えて WordPress 4.7.3 では 4.7 リリースシリーズに対する39件のメンテナンス修正が実施されています。より詳しい情報はリリースノート変更リストを参照してください。

WordPress 4.7.3 への更新は ダッシュボード > 更新 メニューから。自動バックグラウンド更新をサポートしているサイトではすでに更新のプロセスが進んでいるはずです。

WordPress 4.7.2 セキュリティリリース

以下は、Aaron D. Campbell が書いた WordPress.org 公式ブログの記事、「WordPress 4.7.2 Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 4.7.2 が利用可能になりました。これは過去のすべてのバージョンのためのセキュリティリリースですので今すぐサイトを更新してください。

4.7.1 およびそれ以前の WordPress は以下3件セキュリティ問題の影響を受けます:

  1. Press This のタクソノミー語句を割り当てるユーザーインタフェースが使用権限のないユーザーにまで表示される。Alley Interactive の David Herrera により報告されました。
  2. 安全でないデータが渡された時に発生する WP_Query の SQL インジェクション (SQLi) 脆弱性。WordPress コアがこの問題の影響を直接受けることはありませんが、プラグインやテーマが絡むケースを考慮して安全性強化のために対策を行うものです。Mo Jangda (batmoo) により報告されました。
  3. 投稿リストテーブルで発見されたクロスサイトスクリプティング (XSS) 脆弱性。WordPress セキュリティチームの Ian Dunn により報告されました。

適切なプロセスに則った報告に感謝します。

WordPress 4.7.2 への更新は ダッシュボード > 更新 メニューから。自動バックグラウンド更新をサポートしているサイトではすでに更新のプロセスが進んでいるはずです。

4.7.2 に貢献のあったみなさんに感謝します。

WordPress 4.5.3 メンテナンス・セキュリティリリース

以下は、Adam Silverstein が書いた WordPress.org 公式ブログの記事、「 Maintenance and Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 4.5.3 がご利用いただけるようになりました。これは過去のバージョンすべてに対するセキュリティリリースであり、サイトを今すぐに更新することを強くおすすめします。

WordPress 4.5.2 およびそれ以前のバージョンは複数のセキュリティ問題に影響を受けています。カスタマイザーでのリダイレクトバイパス (報告: Yassine Aboukir)、添付ファイル名称を通じた2件の異なる XSS 問題 (報告者: Jouko PynnönenDivyesh Prajapati)、リビジョン履歴情報の露見 (報告者: WordPress セキュリティチーム John Blackbourn、Dan Moen 各氏によりそれぞれ)、oEmbed DoS (報告者: Automattic の Jennifer Dodd)、権限がない投稿からのカテゴリー削除 (報告者: Alley Interactive の David Herrera)、盗まれた Cookie に依るパスワードの変更 (報告者: WordPress セキュリティチーム Michael Adams )、比較的安全性の低い sanitize_file_name エッジケース数個 (報告者: WordPress セキュリティチーム Peter Westwood)。

報告者の皆さん、責任ある情報公開プロセスを実践していただきありがとうございます。

上記のセキュリティ問題に加え、WordPress 4.5.3 では4.5、4.5.1、4.5.2 からの17件のバグを修正しました。詳しくはリリースノートを読むか、変更一覧をご覧ください。

WordPress 4.5.3 をダウンロードするか、「ダッシュボード → 更新」画面から「今すぐ更新」をクリックしてください。自動バックグラウンド更新に対応しているサイトに対しては、すでに WordPress 4.5.3 への自動更新が始まっています。

4.5.3 へ貢献してくれた皆さん、ありがとうございます。

Boone Gorges, Silvan Hagenvortfu, Eric Andrew LewisNikolay Bachiyski,  Michael Adams, Jeremy FeltDominik SchillingWeston RuterDion HulseRachel BakerAlex ConchaJennifer M. DoddBrandon Kraft, Gary Pendergast, Ella Iseulde Van Dorpe,Joe McGill, Pascal Birchler, Sergey BiryukovDavid Herrera, Adam Silverstein.

WordPress 4.5.2 セキュリティリリース

以下は、Helen Hou-Sandi が書いた WordPress.org 公式ブログの記事、「WordPress 4.5.2 Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください

(訳注: セキュリティ問題の報告者である Kinugawa 氏にご指摘いただき、SOME 脆弱性および反射型 XSS に関する訳を公開後に修正しました)


WordPress 4.5.2 がご利用いただけるようになりました。これは以前のすべてのバージョンに対するセキュリティリリースであり、サイトを今すぐ更新することを強くおすすめします。

WordPress バージョン 4.5.1 およびそれ以前のバージョンは、WordPress がファイルアップロードのために使っているサードパーティライブラリである Plupload を通して SOME (Same Origin Method Execution) 脆弱性にさらされています。WordPress バージョン 4.2 から 4.5.1 は、MediaElement.js を利用して特別に作った URI を使う、反射型 XSS 攻撃に対する脆弱性があります。MediaElement.js は、メディアプレイヤー用のサードパーティライブラリです。MediaElement.js および Plupload は、いずれもこの問題を修正する更新をリリースしています

これらの問題は両方とも、Cure53 の Mario Heiderich、Masato Kinugawa、Filedescriptor によって分析・報告されました。責任ある情報公開プロセスに従ってくれた彼らと、問題を修正するために私達と密接に協力してくれた Plupload、MediaElement.js チームに感謝します。

WordPress 4.5.2 をダウンロードするか、「ダッシュボード → 更新」に移動して「今すぐ更新」をクリックしてください。自動バックグラウンド更新に対応しているサイトは、順次 WordPress 4.5.2 への自動更新が始まるはずです。

さらに、広範に公開された ImageMagick 画像処理ライブラリの脆弱性も複数存在しています。このライブラリは、WordPress に対応した多くのホスティングサービスにおいて使われています。これらの問題に対する私達の現在の反応については、コア開発ブログのこの投稿をご覧ください。

WordPress 4.4.2 セキュリティとメンテナンスのリリース

以下は、Samuel Sidler が書いた WordPress.org 公式ブログの記事、「WordPress 4.4.2 Security and Maintenance Release」を訳したものです。

WordPress 4.4.2 日本語版は、こちらからダウンロードいただけます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください


WordPress 4.4.2 が利用可能になりました。これは以前のすべてのバージョンに対するセキュリティリリースですので、ただちにサイトを更新されることを強くおすすめします。

WordPress 4.4.1 以前のバージョンは以下の2つの問題の影響を受けます: Ronni Skansing の報告による、あるローカルの URI に対する、サーバーサイドリクエストフォージェリの脆弱性と、Shailesh Sutharの報告による、オープンリダイレクト攻撃です。

責任をもって公表してくれた二人の報告者に感謝いたします。

上記のセキュリティの問題に加えて、WordPress 4.4.2 では、4.4 と 4.4.1 から 17個のバグが修正されています。詳細な情報はリリースノート変更の一覧をご確認ください。

WordPress 4.4.2 をダウンロードするか、ダッシュボード → 更新に進み、「今すぐ更新」をクリックしてください。自動バックグラウンド更新をサポートしているサイトでは既に WordPress 4.4.2 への更新が始まっています。

4.4.2 に貢献いただいた皆様に感謝いたします。

Andrea Fercia, berengerzyla, Boone Gorges, Chandra Patel, Chris Christoff, Dion Hulse, Dominik Schilling, firebird75, Ivan Kristianto, Jennifer M. Dodd, salvoaranzulla

WordPress 4.4.1 セキュリティとメンテナンスのリリース

以下は、Aaron Jorbin が書いた WordPress.org 公式ブログの記事、「WordPress 4.4.1 Security and Maintenance Release」を訳したものです。

WordPress 4.4.1 日本語版は、こちらからダウンロードいただけます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください


WordPress 4.4.1 が利用可能になりました。これは以前のすべてのバージョンに対するセキュリティリリースですので、ただちにサイトを更新されることを強くおすすめします。

WordPress 4.4 およびそれ以前のバージョンにはクロスサイトスクリプティング脆弱性があり、サイトを危険な状態にしてしまう可能性がありました。この問題は Crtc4L により報告されました。

WordPress 4.4.1 にはセキュリティ関連でないバグ修正も含まれています。

  • 新しいダイバース絵文字 👍🏿👌🏽👏🏼 を含むすべての最新絵文字を含むよう絵文字サポートが更新されました。
  • 古いバージョンの OpenSSL を使用しているサイトで一部プラグインを介して他のサービスと通信できない問題の修正。
  • 一度使用された投稿 URL が再利用されると、誤った投稿にリダイレクトされる問題の修正。

WordPress 4.4.1 では、4.4 から 52個のバグが修正されています。詳細な情報はリリースノート変更の一覧をご確認ください。

WordPress 4.4.1 をダウンロードするか、ダッシュボード → 更新に進み、「今すぐ更新」をクリックしてください。自動バックグラウンド更新をサポートしているサイトでは既に WordPress 4.4.1 への更新が始まっています。

4.4.1 に貢献いただいた皆様に感謝いたします。

Aaron D. Campbell, Aaron Jorbin, Andrea Fercia, Andrew Nacin, Andrew Ozz, Boone Gorges, Compute, Daniel Jalkut (Red Sweater), Danny van Kooten, Dion Hulse, Dominik Schilling (ocean90), Dossy Shiobara, Evan Herman, Gary Pendergast, gblsm, Hinaloe, Ignacio Cruz Moreno, jadpm, Jeff Pye Brook, Joe McGill, John Blackbourn, jpr, Konstantin Obenland, KrissieV, Marin Atanasov, Matthew Ell, Meitar, Pascal Birchler, Peter Wilson, Roger Chen, Ryan McCue, Sal Ferrarello, Scott Taylor, scottbrownconsulting, Sergey Biryukov, Shinichi Nishikawa, smerriman, Stephen Edgar, Stephen Harris, tharsheblows, voldemortensen, and webaware.