WordPress 4.4.1 セキュリティとメンテナンスのリリース

以下は、Aaron Jorbin が書いた WordPress.org 公式ブログの記事、「WordPress 4.4.1 Security and Maintenance Release」を訳したものです。

WordPress 4.4.1 日本語版は、こちらからダウンロードいただけます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください


WordPress 4.4.1 が利用可能になりました。これは以前のすべてのバージョンに対するセキュリティリリースですので、ただちにサイトを更新されることを強くおすすめします。

WordPress 4.4 およびそれ以前のバージョンにはクロスサイトスクリプティング脆弱性があり、サイトを危険な状態にしてしまう可能性がありました。この問題は Crtc4L により報告されました。

WordPress 4.4.1 にはセキュリティ関連でないバグ修正も含まれています。

  • 新しいダイバース絵文字 👍🏿👌🏽👏🏼 を含むすべての最新絵文字を含むよう絵文字サポートが更新されました。
  • 古いバージョンの OpenSSL を使用しているサイトで一部プラグインを介して他のサービスと通信できない問題の修正。
  • 一度使用された投稿 URL が再利用されると、誤った投稿にリダイレクトされる問題の修正。

WordPress 4.4.1 では、4.4 から 52個のバグが修正されています。詳細な情報はリリースノート変更の一覧をご確認ください。

WordPress 4.4.1 をダウンロードするか、ダッシュボード → 更新に進み、「今すぐ更新」をクリックしてください。自動バックグラウンド更新をサポートしているサイトでは既に WordPress 4.4.1 への更新が始まっています。

4.4.1 に貢献いただいた皆様に感謝いたします。

Aaron D. Campbell, Aaron Jorbin, Andrea Fercia, Andrew Nacin, Andrew Ozz, Boone Gorges, Compute, Daniel Jalkut (Red Sweater), Danny van Kooten, Dion Hulse, Dominik Schilling (ocean90), Dossy Shiobara, Evan Herman, Gary Pendergast, gblsm, Hinaloe, Ignacio Cruz Moreno, jadpm, Jeff Pye Brook, Joe McGill, John Blackbourn, jpr, Konstantin Obenland, KrissieV, Marin Atanasov, Matthew Ell, Meitar, Pascal Birchler, Peter Wilson, Roger Chen, Ryan McCue, Sal Ferrarello, Scott Taylor, scottbrownconsulting, Sergey Biryukov, Shinichi Nishikawa, smerriman, Stephen Edgar, Stephen Harris, tharsheblows, voldemortensen, and webaware.

WordPress 4.3.1 セキュリティとメンテナンスのリリース

以下は、Samuel Sidler が書いた WordPress.org 公式ブログの記事、「WordPress 4.3.1 Security and Maintenance Release」を訳したものです。

WordPress 4.3.1 日本語版は、こちらからダウンロードいただけます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください


WordPress 4.3.1 が利用可能になりました。これは以前のすべてのバージョンに対するセキュリティリリースですので、ただちにサイトを更新されることを強くおすすめします。

このリリースでは、2つのクロスサイトスクリプティングの脆弱性と潜在的な権限昇格を含む3点の問題に対応しています。

  • バージョン 4.3 以下の WordPress は、ショートコードのタグを処理する時にクロスサイトスクリプティングの脆弱性攻撃を受けてしまう (CVE-2015-5714)。Check Point の Shahar Tal と Netanel Rubin による報告。
  • ユーザーリストテーブルに別のクロスサイトスクリプティングの脆弱性が発見されました。WordPress セキュリティチームの Ben Bidner による報告。
  • 特定のケースにおいて、不適切なパーミッションのユーザーが非公開設定の投稿を行え、また、それらを固定表示できてしまう (CVE-2015-5715)。Check Point の Shahar Tal と Netanel Rubin による報告。

セキュリティ問題の責任ある開示を行ってくださった方々に感謝いたします。

WordPress 4.3.1 では、26個のバグも修正されています。詳細な情報はリリースノート変更の一覧をご確認ください。

WordPress 4.3.1 をダウンロードするか、ダッシュボード → 更新に進み、「今すぐ更新」をクリックしてください。自動バックグラウンド更新をサポートしているサイトでは既に WordPress 4.3.1 への更新が始まっています。

4.3.1 に貢献いただいた皆様に感謝いたします。

Adam Silverstein, Andrea FerciaAndrew Ozz, Boone Gorges, Brandon Kraft, chriscct7, Daisuke Takahashi, Dion Hulse, Dominik Schilling, Drew Jaynes, dustinbolton, Gary Pendergast, hauvong, James Huff, Jeremy Felt, jobst, Marin Atanasov, Nick Halsey, nikeo, Nikolay Bachiyski, Pascal Birchler, Paul Ryan, Peter Wilson, Robert Chapin, Samuel Wood, Scott Taylor, Sergey Biryukov, tmatsuur, Tracy Levesque, Umesh Nevase, vortfu, welcher, Weston Ruter

WordPress 4.2.3 セキュリティとメンテナンスのリリース

以下は、Gary Pendergastが書いたWordPress.org公式ブログの記事、「WordPress 4.2.3 Security and Maintenance Release」を訳したものです。

WordPress 4.2.3の日本語版についてはこちらからダウンロードいただけます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください。


WordPress 4.2.3 が利用可能になりました。これは以前のすべてのバージョンに対する重大なセキュリティリリースですので、ただちにサイトを更新することを強く推奨します。

WordPress のバージョン 4.2.2 とそれ以前は寄稿者や投稿者権限のユーザがサイトを危険にさらすことを許してしまうクロスサイトスクリプティングの脆弱性の影響を受けます。これは最初に Jon Cave によって報告され、Robert Chapinによって修正されました。彼らはどちらも WordPress セキュリティチームに所属しています。後に、Jouko Pynnonen からも報告がありました。

購読者権限を持つユーザがクイックドラフトを通じて、投稿の下書きを作ることができてしまう問題も修正しました。Check Point Software Technologies の Netanel Rubin から報告がありました。

セキュリティの問題の責任ある開示を行っていただいた方々に感謝いたします。

WordPress 4.2.3 は 4.2 からの 20 のバグの修正も含まれています。詳細な情報はリリースノート変更の一覧をご確認ください。

WordPress 4.2.3 をダウンロードするダッシュボード → 更新に進み、「今すぐ更新」をクリックしてください。自動バックグラウンド更新をサポートしているサイトでは既に WordPress 4.2.3 への更新が始まっています。

4.2.3 に貢献いただいた皆様に感謝いたします:

Aaron Jorbin, Andrew Nacin, Andrew Ozz, Boone Gorges, Chris Christoff, Dion Hulse, Dominik Schilling, Ella Iseulde Van Dorpe, Gabriel Perez, Gary Pendergast, Mike Adams, Robert Chapin, Nikolay Bachiyski, Ross Wintle, and Scott Taylor.

WordPress 4.2.2 セキュリティとメンテナンスのリリース

以下は、Samuel Sidlerが書いたWordPress.org公式ブログの記事、「WordPress 4.2.2 Security and Maintenance Release」を訳したものです。

WordPress 4.2.2の日本語版についてはこちらからダウンロードいただけます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください。


WordPress 4.2.2が利用可能になりました。これは以前のすべてのバージョンに対する重大なセキュリティリリースですので、ただちにサイトを更新することを強く推奨します。

バージョン4.2.2では二つのセキュリティの問題を解決しました:

  • 数多くの人気テーマやプラグインで使用されているGenericonsアイコンフォントのパッケージはクロスサイトスクリプティングの攻撃に脆弱なHTMLファイルを含んでいました。WordPress.orgでホストされている、すべての影響を受けるテーマとプラグイン(Twenty Fifteenデフォルトテーマを含む)は今日、WordPressセキュリティチームによって、この意味のないファイルを削除し、この問題を解決するためにアップデートされました。他のGenericonsの使用を保護するため、WordPress 4.2.2はこのHTMLファイルについてwp-contentディレクトリを率先してスキャンし、除去します。NetsparkerのRobert Abelaによって報告されました。
  • WordPressのバージョン4.2とそれ以前は匿名のユーザがサイトを危険にさらすことが可能な重大なクロスサイトスクリプティングの脆弱性の影響を受けます。WordPress 4.2.2はこの問題に対する包括的な修正を含みます。Rice AduとTong Shiによって報告されました。

このリリースはビジュアル・エディターを使用している場合の潜在的なクロスサイト・スクリプティングの脆弱性への強化も含みます。この問題はMahadev Subediによって報告されました。

セキュリティの問題の責任ある開示を行っていただいた方々に感謝いたします。

WordPress 4.2.2は4.2からの13のバグの修正も含まれています。詳細な情報はリリースノート変更の一覧をご確認ください。

WordPress 4.2.2をダウンロードするダッシュボード → 更新に進み、「今すぐ更新」をクリックしてください。自動バックグラウンド更新をサポートしているサイトでは既にWordPress 4.2.2への更新が始まっています。

4.2.2に貢献いただいた皆さんに感謝いたします:

Aaron Jorbin, Andrew Ozz, Andrew Nacin, Boone Gorges, Dion Hulse, Ella Iseulde Van Dorpe, Gary Pendergast, Hinaloe, Jeremy Felt, John James Jacoby, Konstantin Kovshenin, Mike Adams, Nikolay Bachiyski, taka2, and willstedt.

WordPress 4.2.1 セキュリティリリース

以下は、Gary Pendergastが書いたWordPress.org公式ブログの記事、「WordPress 4.2.1 Security Release」を訳したものです。

WordPress 4.2.1の日本語版についてはこちらからダウンロードいただけます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください。


WordPress 4.2.1が利用可能になりました。これは以前のすべてのバージョンに対する重大なセキュリティリリースですので、ただちにサイトを更新することを強く推奨します。

数時間前、WordPressチームはコメントの投稿者がサイトを危険にさらすことが可能なクロスサイトスクリプティングの脆弱性に気が付きました。この脆弱性はJouko Pynnonenによって発見されました。

WordPress 4.2.1は自動バックグラウンド更新として対応しているサイトにロールアウトされ始めています。

詳細な情報はリリースノート変更の一覧をご確認ください。

WordPress 4.2.1をダウンロードするダッシュボード → 更新に進み、「今すぐ更新」をクリックしてください。

WordPress 4.1.2 セキュリティリリース

以下は、Gary Pendergast が書いた WordPress.org 公式ブログの記事、「WordPress 4.1.2 Security Release」を訳したものです。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください

WordPress 4.1.2 の日本語版はこちらからダウンロードできます。


WordPress 4.1.2 が公開されました。これはセキュリティ上の重大な問題を修正するものですので今すぐ更新してください。

WordPress 4.1.1 以前のバージョンは深刻なクロスサイトスクリプティング脆弱性の影響を受けます。これにより権限のないユーザーによるサイトの不正操作が可能になります。この問題は Cedric Van Bockhaven により報告され、WordPress セキュリティチームの Gary PendergastMike AdamsAndrew Nacin により修正されました。

また、その他に以下3点のセキュリティ上の問題が修正されています:

  • WordPress 4.1 以降のバージョンで、不正な、あるいは安全でない名前のファイルをアップロードすることが可能になっていた。この問題は HSASec の Michael Kapfer と Sebastian Kraemer により発見されました。
  • WordPress 3.9 以降のバージョンで、ソーシャル・エンジニアリング攻撃の一環として非常に限られた条件下で有効になるクロスサイトスクリプティング脆弱性が確認された。この問題は Jakub Zoczek により発見されました。
  • 一部のプラグインに SQL インジェクション脆弱性が確認された。この問題は WordPress セキュリティチームの Ben Bidner により発見されました。

また、セキュリティ強化のための4点の変更を実施しました。J.D. Grimes、 Divyesh Prajapati、Allan CollinsMarc-Alexandre Montpas がその対応を行いました。

これらの問題に関する適切な情報開示が直接私たちのセキュリティチームに対して行われたことに感謝します。より詳しい情報はリリースノート変更リストをご確認ください。

WordPress 4.1.2 をダウンロードして手動で更新するか、または ダッシュボード → 更新 からワンクリックでの更新が可能です。自動バックグラウンド更新をサポートするサイトではすでに WordPress 4.1.2 への更新が始まっているでしょう。

4.1.2 への貢献があった皆さんに感謝します: Allan CollinsAlex ConchaAndrew NacinAndrew OzzBen BidnerBoone GorgesDion HulseDominik SchillingDrew JaynesGary PendergastHelen Hou-SandíJohn Blackbourn、そして Mike Adams

また、いくつかのプラグインにおいて昨日セキュリティ修正版がリリースされています。すべて最新の状態を維持して安全性を確保しましょう。プラグイン開発者の方はこちらの記事を参照してあなたのプラグインが同様の問題の影響を受けていないことを確認してください。セキュリティチームと密に連携をとって協調対応を行ってくれたすべてのプラグイン開発者の皆さん、ありがとうございました。

WordPress 4.2 のテストはもう行っていますか? 今回の修正が含まれているリリース候補の第3弾が公開されています(zip)。4.2 に関するさらに詳しい情報はリリース候補のお知らせ記事をご覧ください。

WordPress 4.0.1 セキュリティリリース

以下は、Andrew Nacin が書いた WordPress.org 公式ブログの記事、「WordPress 4.0.1 Security Release」を訳したものです。

WordPress 4.0.1 の日本語版は現在準備中です。
WordPress 4.0.1 の日本語版はこちらからダウンロードできます

誤字脱字誤訳等ありましたらフォーラムまでお知らせください


WordPress 4.0.1が利用可能になりました。このリリースは、これまでのすべてのバージョンのための重要なセキュリティリリースであり、すぐにサイトを更新することを強くお勧めします。

自動バックグラウンド更新をサポートしているサイトは、今後数時間以内のうちに WordPress 4.0.1に更新されます。WordPress 3.9.2、3.8.4、または3.7.4にとどまっている場合は、安全性を維持するために3.9.3、3.8.5、または3.7.5に更新されます。(古いバージョンはサポートされません。最新の 4.0.1にアップデートするようにしてください)

WordPress のバージョン3.9.2およびそれ以前のバージョンのサイトは、匿名ユーザーによるサイトへの不正侵入を招くかもしれない重大なクロスサイトスクリプティング脆弱性の影響を受けています。これは Jouko Pynnonen によって報告されました。この問題はバージョン4.0には影響しませんが、バージョン4.0.1は以下の8つのセキュリティ問題に対処しています。

  • 寄稿者または投稿者によってサイトを侵害するために使用できるかもしれない3件のクロスサイトスクリプティングの問題。これは WordPress のセキュリティチームの Jon CaveRobert Chapin、そして Robert Chapin によって発見されました。
  • 自分のパスワードを変更するようにユーザーをだますのに使用されるかもしれないクロスサイトリクエストフォージェリ。
  • パスワードのチェック時にサービス妨害を招きかねない問題。Javier Nieto ArevaloAndres Rojas Guerrero によって報告されました。
  • WordPress が HTTP 要求を行うときのサーバー側リクエストフォージェリ攻撃のための追加的な保護。Ben Bidner (vortfu) によって報告されました。
  • 極めてまれなハッシュ衝突と2008年以降ログインしていない場合 (冗談ならいいんですが) にユーザーのアカウントが危険にさらされる可能性。David Anderson によって報告されました。。
  • (パスワードのリセット作業手続き開始後に)ユーザーが自分のパスワードを覚えていてログインし、自分のメールアドレスを変更した場合、WordPress はパスワードリセットメール内のリンクを無効にするようにしました。この件は Momen BasselTanoy Bose、および ManageWP の Bojan Slavković によって別々に報告されました。

バージョン4.0.1はまた、4.0の23個のバグを修正し、アップロードされた写真から抽出する EXIF データのより良いバリデーションを含む2件のセキュリティ強化のための変更を行いました。Chris Andrè Dale によって報告されました。

これらの情報が直接わたしたちのセキュリティチームに責任をもって開示されたことに感謝します。このリリースの詳細については、リリースノートまたは変更リストを参照してください 。

では、WordPress 4.0.1をダウンロードするかダッシュボード→アップデートを開き「いますぐ更新」をクリックしてください。

すでに WordPress 4.1をテスト中ですか?であれば、これらのセキュリティ修正が含まれた2つ目のベータ版が利用可能になっています (zip)。4.1の詳細については ベータ1のアナウンスご覧ください 。

WordPress 3.9.2 セキュリティリリース

以下は、Andrew Nacin が書いた WordPress.org 公式ブログの記事、「WordPress 3.9.2 Security Release」を訳したものです。

WordPress 3.9.2 の日本語版は現在準備中です。
WordPress 3.9.2 の日本語版はこちらからダウンロードできます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください


過去すべてのバージョンに対するセキュリティリリースとして WordPress 3.9.2 がご利用いただけるようになりました。サイトをいますぐ更新されることを強くおすすめします。

このリリースでは、Salesforce.com のプロダクトセキュリティチームの Nir Goldshlager によって報告された PHP の XML 処理に含まれるサービス妨害 (DoS) 問題の可能性を修正しています。WordPress セキュリティチームの Michael Adams と Andrew Nacin、そして Drupal セキュリティチームの David Rothstein が修正を行いました。2つのプロジェクトがセキュリティリリースのために共同で調整を行ったのは今回が初めてのことです。

WordPress 3.9.2 には他のセキュリティ関連の変更も含まれています。

  • WordPress セキュリティチームの Alex Concha が発見した、ウィジェットを処理する際に低い確立でコードが実行される可能性のある問題を修正 (WordPress はデフォルトではこの影響を受けません) 。
  • ONSec の Ivan Novikov によって報告された、外部 GetID3 ライブラリでの XML 実体参照攻撃を通じた情報の開示を防止。
  • Google セキュリティチームの David Tomaschik によって報告された、CSRF トークンへの総当たり攻撃に対する保護を追加。
  • 管理者のみによってトリガーされる可能性のあるクロスサイトスクリプティングの防止など、追加のセキュリティ強化。

これらの問題に対し、私たちのセキュリティチームに責任ある情報開示をしてくださったことに感謝します。さらに詳しい情報についてはリリースノートまたは変更点一覧をご覧ください。

WordPress 3.9.2 (英語版、日本語版はこちら) をダウンロードするか、「ダッシュボード → 更新」へ移動して「いますぐ更新」をクリックしてください。

自動バックグラウンド更新に対応しているサイトは12時間以内に WordPress 3.9.2 へ更新されます (もしまだ WordPress 3.8.3 または 3.7.3 をお使いの場合も、3.8.4 または 3.7.4 に自動更新されます。過去のバージョンはサポートしていませんので、最新の 3.9.2 にぜひアップグレードして下さい) 。

WordPress 4.0 をすでにテスト中の方へ。ベータ3がすでにダウンロード可能 (zip) になっており、これらのセキュリティ修正が含まれています。

WordPress 3.8.2 セキュリティリリース

以下は、Andrew Nacin が書いた WordPress.org 公式ブログの記事、「WordPress 3.8.2 Security Release」を訳したものです。

WordPress 3.8.2 の日本語版はこちらからダウンロードできます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください


WordPress 3.8.2 がご利用いただけるようになりました。これは過去のバージョンすべてに対する重要なセキュリティリリースで、サイトをすぐにアップグレードすることを強くおすすめします。

このリリースでは認証 Cookie を偽装することで攻撃者がサイトに侵入できてしまう可能性がある脆弱性を修正しました。この問題は WordPress セキュリティチームの Jon Cave が発見し、修正を行いました。

また、寄稿者権限を持つユーザーが投稿を不適切に公開できてしまうバグの修正も含まれています。edik により報告されました。

今回のリリースは、他にも9つのバグ修正と3つのセキュリティ強化に関する変更を含んでいます。

  • ピンバックを処理する際にホストが不正なリクエストを認識できるよう、追加情報を渡すことにした。
  • 信頼できるユーザーによる影響度の低い SQL インジェクション脆弱性を修正。dxw の Tom Adams からの報告。
  • Pulupload (WordPress のファイルアップロードに使われているサードパーティ製ライブラリ) を通じたクロスドメインスクリプティングの可能性を防ぐようにした。Szymon Gruszecki からの報告。

これらのセキュリティ問題を安全な方法でセキュリティチームに直接ご報告いただきありがとうございます。すべての変更についての詳しい情報は、リリースノートまたは変更一覧をご覧ください。

WordPress 3.8.2 をダウンロードする (英語版) か、管理画面の「ダッシュボード → 更新」で「いますぐ更新」をクリックしてください。

自動バックグラウンド更新に対応しているサイトは12時間以内に WordPress 3.8.2 へ自動的に更新されます。まだ WordPress 3.7.1 をお使いの場合は、3.7.2 へ更新されます。こちらにも 3.8.2 と同様のセキュリティ修正が含まれています。旧バージョンはサポート外ですので、ぜひ 3.8.2 にアップグレードしてください。

WordPress 3.9 をすでにテスト中の方は RC 1 版がご利用いただけます (zip、英語版) 。こちらにも同じくセキュリティ修正が含まれています。後ほど詳しい告知を行いますが、3.9 は来週リリースの予定です。

WordPress 3.6.1 メンテナンスとセキュリティのリリース

以下は、Andrew Nacin が書いた WordPress.org 公式ブログの記事、「WordPress 3.6.1 Maintenance and Security Release」を訳したものです。

WordPress 3.6.1 日本語版は現在準備中ですこちらからダウンロードできます


WordPress 3.6は700万回近くダウンロードされましたが、新しいバージョン3.6.1の提供を開始したことをお知らせいたします。これはメンテナンスリリースで、とてもスムースなリリースであったバージョン3.6の13個のバグを修正しています。

WordPress 3.6 はまた、これまで以前のすべてのバージョンのへのセキュリティフィックスでもあります。したがって、すべてのサイトをアップデートするよう強くおすすめします。

  • 限られた状況と環境でのリモートコードの実行を導きかねない安全ではないPHPのアンシリアライズをブロックするようにしました。Tom Van Goethem により報告されました。
  • 投稿者権限(Author)が特別巧妙なリクエストを使い、別のユーザーになりすまして投稿を作成できるバグを防ぐようにしました。Anakorn Kyavatanakij により報告されました。
  • ユーザーを別のサイトに導く結果をもたらしかねない不十分な入力バリデーションを修正しました。Dave Cummo, a Northrup Grumman subcontractor for the U.S. Centers for Disease Control and Prevention により報告されました。

さらに、ファイルアップロードまわりのセキュリティ制限を調整し、クロスサイトスクリプティングの潜在的な危険性を軽減しました。

これらの問題をわたしたちのセキュリティチームへ責任をもって直接伝えてくれたことに感謝します。今回の変更に関する詳細はリリースノート もしくは変更箇所リストを参照してください。

WordPress 3.6.1 をダウンロードするか 管理画面のダッシュボード→更新からアップデートしてください。