カテゴリー: Security

以下は、Adam Silverstein が書いた WordPress.org 公式ブログの記事、「 Maintenance and Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください。

---

WordPress 4.5.3 がご利用いただけるようになりました。これは過去のバージョンすべてに対するセキュリティリリースであり、サイトを今すぐに更新することを強くおすすめします。

WordPress 4.5.2 およびそれ以前のバージョンは複数のセキュリティ問題に影響を受けています。カスタマイザーでのリダイレクトバイパス (報告: Yassine Aboukir)、添付ファイル名称を通じた2件の異なる XSS 問題 (報告者: Jouko Pynnönen、Divyesh Prajapati)、リビジョン履歴情報の露見 (報告者: WordPress セキュリティチーム John Blackbourn、Dan Moen 各氏によりそれぞれ)、oEmbed DoS (報告者: Automattic の Jennifer Dodd)、権限がない投稿からのカテゴリー削除 (報告者: Alley Interactive の David Herrera)、盗まれた Cookie に依るパスワードの変更 (報告者: WordPress セキュリティチーム Michael Adams )、比較的安全性の低い sanitize_file_name エッジケース数個 (報告者: WordPress セキュリティチーム Peter Westwood)。

報告者の皆さん、責任ある情報公開プロセスを実践していただきありがとうございます。

上記のセキュリティ問題に加え、WordPress 4.5.3 では4.5、4.5.1、4.5.2 からの17件のバグを修正しました。詳しくはリリースノートを読むか、変更一覧をご覧ください。

WordPress 4.5.3 をダウンロードするか、「ダッシュボード → 更新」画面から「今すぐ更新」をクリックしてください。自動バックグラウンド更新に対応しているサイトに対しては、すでに WordPress 4.5.3 への自動更新が始まっています。

4.5.3 へ貢献してくれた皆さん、ありがとうございます。

Boone Gorges, Silvan Hagen, vortfu, Eric Andrew Lewis, Nikolay Bachiyski,  Michael Adams, Jeremy Felt, Dominik Schilling, Weston Ruter, Dion Hulse, Rachel Baker, Alex Concha, Jennifer M. Dodd, Brandon Kraft, Gary Pendergast, Ella Iseulde Van Dorpe,Joe McGill, Pascal Birchler, Sergey Biryukov, David Herrera, Adam Silverstein.

以下は、Helen Hou-Sandi が書いた WordPress.org 公式ブログの記事、「WordPress 4.5.2 Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください。

（訳注: セキュリティ問題の報告者である Kinugawa 氏にご指摘いただき、SOME 脆弱性および反射型 XSS に関する訳を公開後に修正しました）

---

WordPress 4.5.2 がご利用いただけるようになりました。これは以前のすべてのバージョンに対するセキュリティリリースであり、サイトを今すぐ更新することを強くおすすめします。

WordPress バージョン 4.5.1 およびそれ以前のバージョンは、WordPress がファイルアップロードのために使っているサードパーティライブラリである Plupload を通して SOME (Same Origin Method Execution) 脆弱性にさらされています。WordPress バージョン 4.2 から 4.5.1 は、MediaElement.js を利用して特別に作った URI を使う、反射型 XSS 攻撃に対する脆弱性があります。MediaElement.js は、メディアプレイヤー用のサードパーティライブラリです。MediaElement.js および Plupload は、いずれもこの問題を修正する更新をリリースしています

これらの問題は両方とも、Cure53 の Mario Heiderich、Masato Kinugawa、Filedescriptor によって分析・報告されました。責任ある情報公開プロセスに従ってくれた彼らと、問題を修正するために私達と密接に協力してくれた Plupload、MediaElement.js チームに感謝します。

WordPress 4.5.2 をダウンロードするか、「ダッシュボード → 更新」に移動して「今すぐ更新」をクリックしてください。自動バックグラウンド更新に対応しているサイトは、順次 WordPress 4.5.2 への自動更新が始まるはずです。

さらに、広範に公開された ImageMagick 画像処理ライブラリの脆弱性も複数存在しています。このライブラリは、WordPress に対応した多くのホスティングサービスにおいて使われています。これらの問題に対する私達の現在の反応については、コア開発ブログのこの投稿をご覧ください。

以下は、Samuel Sidler が書いた WordPress.org 公式ブログの記事、「WordPress 4.4.2 Security and Maintenance Release」を訳したものです。

WordPress 4.4.2 日本語版は、こちらからダウンロードいただけます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください。

---

WordPress 4.4.2 が利用可能になりました。これは以前のすべてのバージョンに対するセキュリティリリースですので、ただちにサイトを更新されることを強くおすすめします。

WordPress 4.4.1 以前のバージョンは以下の2つの問題の影響を受けます: Ronni Skansing の報告による、あるローカルの URI に対する、サーバーサイドリクエストフォージェリの脆弱性と、Shailesh Sutharの報告による、オープンリダイレクト攻撃です。

責任をもって公表してくれた二人の報告者に感謝いたします。

上記のセキュリティの問題に加えて、WordPress 4.4.2 では、4.4 と 4.4.1 から 17個のバグが修正されています。詳細な情報はリリースノートか変更の一覧をご確認ください。

WordPress 4.4.2 をダウンロードするか、ダッシュボード → 更新に進み、「今すぐ更新」をクリックしてください。自動バックグラウンド更新をサポートしているサイトでは既に WordPress 4.4.2 への更新が始まっています。

4.4.2 に貢献いただいた皆様に感謝いたします。

Andrea Fercia, berengerzyla, Boone Gorges, Chandra Patel, Chris Christoff, Dion Hulse, Dominik Schilling, firebird75, Ivan Kristianto, Jennifer M. Dodd, salvoaranzulla

以下は、Aaron Jorbin が書いた WordPress.org 公式ブログの記事、「WordPress 4.4.1 Security and Maintenance Release」を訳したものです。

WordPress 4.4.1 日本語版は、こちらからダウンロードいただけます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください。

---

WordPress 4.4.1 が利用可能になりました。これは以前のすべてのバージョンに対するセキュリティリリースですので、ただちにサイトを更新されることを強くおすすめします。

WordPress 4.4 およびそれ以前のバージョンにはクロスサイトスクリプティング脆弱性があり、サイトを危険な状態にしてしまう可能性がありました。この問題は Crtc4L により報告されました。

WordPress 4.4.1 にはセキュリティ関連でないバグ修正も含まれています。

• 新しいダイバース絵文字 👍🏿👌🏽👏🏼 を含むすべての最新絵文字を含むよう絵文字サポートが更新されました。
• 古いバージョンの OpenSSL を使用しているサイトで一部プラグインを介して他のサービスと通信できない問題の修正。
• 一度使用された投稿 URL が再利用されると、誤った投稿にリダイレクトされる問題の修正。

WordPress 4.4.1 では、4.4 から 52個のバグが修正されています。詳細な情報はリリースノートか変更の一覧をご確認ください。

WordPress 4.4.1 をダウンロードするか、ダッシュボード → 更新に進み、「今すぐ更新」をクリックしてください。自動バックグラウンド更新をサポートしているサイトでは既に WordPress 4.4.1 への更新が始まっています。

4.4.1 に貢献いただいた皆様に感謝いたします。

Aaron D. Campbell, Aaron Jorbin, Andrea Fercia, Andrew Nacin, Andrew Ozz, Boone Gorges, Compute, Daniel Jalkut (Red Sweater), Danny van Kooten, Dion Hulse, Dominik Schilling (ocean90), Dossy Shiobara, Evan Herman, Gary Pendergast, gblsm, Hinaloe, Ignacio Cruz Moreno, jadpm, Jeff Pye Brook, Joe McGill, John Blackbourn, jpr, Konstantin Obenland, KrissieV, Marin Atanasov, Matthew Ell, Meitar, Pascal Birchler, Peter Wilson, Roger Chen, Ryan McCue, Sal Ferrarello, Scott Taylor, scottbrownconsulting, Sergey Biryukov, Shinichi Nishikawa, smerriman, Stephen Edgar, Stephen Harris, tharsheblows, voldemortensen, and webaware.

以下は、Samuel Sidler が書いた WordPress.org 公式ブログの記事、「WordPress 4.3.1 Security and Maintenance Release」を訳したものです。

WordPress 4.3.1 日本語版は、こちらからダウンロードいただけます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください。

---

WordPress 4.3.1 が利用可能になりました。これは以前のすべてのバージョンに対するセキュリティリリースですので、ただちにサイトを更新されることを強くおすすめします。

このリリースでは、2つのクロスサイトスクリプティングの脆弱性と潜在的な権限昇格を含む3点の問題に対応しています。

• バージョン 4.3 以下の WordPress は、ショートコードのタグを処理する時にクロスサイトスクリプティングの脆弱性攻撃を受けてしまう (CVE-2015-5714)。Check Point の Shahar Tal と Netanel Rubin による報告。
• ユーザーリストテーブルに別のクロスサイトスクリプティングの脆弱性が発見されました。WordPress セキュリティチームの Ben Bidner による報告。
• 特定のケースにおいて、不適切なパーミッションのユーザーが非公開設定の投稿を行え、また、それらを固定表示できてしまう (CVE-2015-5715)。Check Point の Shahar Tal と Netanel Rubin による報告。

セキュリティ問題の責任ある開示を行ってくださった方々に感謝いたします。

WordPress 4.3.1 では、26個のバグも修正されています。詳細な情報はリリースノートか変更の一覧をご確認ください。

WordPress 4.3.1 をダウンロードするか、ダッシュボード → 更新に進み、「今すぐ更新」をクリックしてください。自動バックグラウンド更新をサポートしているサイトでは既に WordPress 4.3.1 への更新が始まっています。

4.3.1 に貢献いただいた皆様に感謝いたします。

Adam Silverstein, Andrea Fercia, Andrew Ozz, Boone Gorges, Brandon Kraft, chriscct7, Daisuke Takahashi, Dion Hulse, Dominik Schilling, Drew Jaynes, dustinbolton, Gary Pendergast, hauvong, James Huff, Jeremy Felt, jobst, Marin Atanasov, Nick Halsey, nikeo, Nikolay Bachiyski, Pascal Birchler, Paul Ryan, Peter Wilson, Robert Chapin, Samuel Wood, Scott Taylor, Sergey Biryukov, tmatsuur, Tracy Levesque, Umesh Nevase, vortfu, welcher, Weston Ruter

以下は、Gary Pendergastが書いたWordPress.org公式ブログの記事、「WordPress 4.2.3 Security and Maintenance Release」を訳したものです。

WordPress 4.2.3の日本語版についてはこちらからダウンロードいただけます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください。

---

WordPress 4.2.3 が利用可能になりました。これは以前のすべてのバージョンに対する重大なセキュリティリリースですので、ただちにサイトを更新することを強く推奨します。

WordPress のバージョン 4.2.2 とそれ以前は寄稿者や投稿者権限のユーザがサイトを危険にさらすことを許してしまうクロスサイトスクリプティングの脆弱性の影響を受けます。これは最初に Jon Cave によって報告され、Robert Chapinによって修正されました。彼らはどちらも WordPress セキュリティチームに所属しています。後に、Jouko Pynnonen からも報告がありました。

購読者権限を持つユーザがクイックドラフトを通じて、投稿の下書きを作ることができてしまう問題も修正しました。Check Point Software Technologies の Netanel Rubin から報告がありました。

セキュリティの問題の責任ある開示を行っていただいた方々に感謝いたします。

WordPress 4.2.3 は 4.2 からの 20 のバグの修正も含まれています。詳細な情報はリリースノートか変更の一覧をご確認ください。

WordPress 4.2.3 をダウンロードするかダッシュボード → 更新に進み、「今すぐ更新」をクリックしてください。自動バックグラウンド更新をサポートしているサイトでは既に WordPress 4.2.3 への更新が始まっています。

4.2.3 に貢献いただいた皆様に感謝いたします:

Aaron Jorbin, Andrew Nacin, Andrew Ozz, Boone Gorges, Chris Christoff, Dion Hulse, Dominik Schilling, Ella Iseulde Van Dorpe, Gabriel Perez, Gary Pendergast, Mike Adams, Robert Chapin, Nikolay Bachiyski, Ross Wintle, and Scott Taylor.

以下は、Samuel Sidlerが書いたWordPress.org公式ブログの記事、「WordPress 4.2.2 Security and Maintenance Release」を訳したものです。

WordPress 4.2.2の日本語版についてはこちらからダウンロードいただけます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください。

---

WordPress 4.2.2が利用可能になりました。これは以前のすべてのバージョンに対する重大なセキュリティリリースですので、ただちにサイトを更新することを強く推奨します。

バージョン4.2.2では二つのセキュリティの問題を解決しました:

• 数多くの人気テーマやプラグインで使用されているGenericonsアイコンフォントのパッケージはクロスサイトスクリプティングの攻撃に脆弱なHTMLファイルを含んでいました。WordPress.orgでホストされている、すべての影響を受けるテーマとプラグイン(Twenty Fifteenデフォルトテーマを含む)は今日、WordPressセキュリティチームによって、この意味のないファイルを削除し、この問題を解決するためにアップデートされました。他のGenericonsの使用を保護するため、WordPress 4.2.2はこのHTMLファイルについてwp-contentディレクトリを率先してスキャンし、除去します。NetsparkerのRobert Abelaによって報告されました。
• WordPressのバージョン4.2とそれ以前は匿名のユーザがサイトを危険にさらすことが可能な重大なクロスサイトスクリプティングの脆弱性の影響を受けます。WordPress 4.2.2はこの問題に対する包括的な修正を含みます。Rice AduとTong Shiによって報告されました。

このリリースはビジュアル・エディターを使用している場合の潜在的なクロスサイト・スクリプティングの脆弱性への強化も含みます。この問題はMahadev Subediによって報告されました。

セキュリティの問題の責任ある開示を行っていただいた方々に感謝いたします。

WordPress 4.2.2は4.2からの13のバグの修正も含まれています。詳細な情報はリリースノートか変更の一覧をご確認ください。

WordPress 4.2.2をダウンロードするかダッシュボード → 更新に進み、「今すぐ更新」をクリックしてください。自動バックグラウンド更新をサポートしているサイトでは既にWordPress 4.2.2への更新が始まっています。

4.2.2に貢献いただいた皆さんに感謝いたします:

Aaron Jorbin, Andrew Ozz, Andrew Nacin, Boone Gorges, Dion Hulse, Ella Iseulde Van Dorpe, Gary Pendergast, Hinaloe, Jeremy Felt, John James Jacoby, Konstantin Kovshenin, Mike Adams, Nikolay Bachiyski, taka2, and willstedt.

以下は、Gary Pendergastが書いたWordPress.org公式ブログの記事、「WordPress 4.2.1 Security Release」を訳したものです。

WordPress 4.2.1の日本語版についてはこちらからダウンロードいただけます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください。

---

WordPress 4.2.1が利用可能になりました。これは以前のすべてのバージョンに対する重大なセキュリティリリースですので、ただちにサイトを更新することを強く推奨します。

数時間前、WordPressチームはコメントの投稿者がサイトを危険にさらすことが可能なクロスサイトスクリプティングの脆弱性に気が付きました。この脆弱性はJouko Pynnonenによって発見されました。

WordPress 4.2.1は自動バックグラウンド更新として対応しているサイトにロールアウトされ始めています。

詳細な情報はリリースノートか変更の一覧をご確認ください。

WordPress 4.2.1をダウンロードするかダッシュボード → 更新に進み、「今すぐ更新」をクリックしてください。

以下は、Gary Pendergast が書いた WordPress.org 公式ブログの記事、「WordPress 4.1.2 Security Release」を訳したものです。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください。

WordPress 4.1.2 の日本語版はこちらからダウンロードできます。

---

WordPress 4.1.2 が公開されました。これはセキュリティ上の重大な問題を修正するものですので今すぐ更新してください。

WordPress 4.1.1 以前のバージョンは深刻なクロスサイトスクリプティング脆弱性の影響を受けます。これにより権限のないユーザーによるサイトの不正操作が可能になります。この問題は Cedric Van Bockhaven により報告され、WordPress セキュリティチームの Gary Pendergast、Mike Adams、Andrew Nacin により修正されました。

また、その他に以下3点のセキュリティ上の問題が修正されています:

• WordPress 4.1 以降のバージョンで、不正な、あるいは安全でない名前のファイルをアップロードすることが可能になっていた。この問題は HSASec の Michael Kapfer と Sebastian Kraemer により発見されました。
• WordPress 3.9 以降のバージョンで、ソーシャル・エンジニアリング攻撃の一環として非常に限られた条件下で有効になるクロスサイトスクリプティング脆弱性が確認された。この問題は Jakub Zoczek により発見されました。
• 一部のプラグインに SQL インジェクション脆弱性が確認された。この問題は WordPress セキュリティチームの Ben Bidner により発見されました。

また、セキュリティ強化のための4点の変更を実施しました。J.D. Grimes、 Divyesh Prajapati、Allan Collins、Marc-Alexandre Montpas がその対応を行いました。

これらの問題に関する適切な情報開示が直接私たちのセキュリティチームに対して行われたことに感謝します。より詳しい情報はリリースノートと変更リストをご確認ください。

WordPress 4.1.2 をダウンロードして手動で更新するか、または ダッシュボード → 更新 からワンクリックでの更新が可能です。自動バックグラウンド更新をサポートするサイトではすでに WordPress 4.1.2 への更新が始まっているでしょう。

4.1.2 への貢献があった皆さんに感謝します: Allan Collins、Alex Concha、Andrew Nacin、Andrew Ozz、Ben Bidner、Boone Gorges、Dion Hulse、Dominik Schilling、Drew Jaynes、Gary Pendergast、Helen Hou-Sandí、John Blackbourn、そして Mike Adams。

また、いくつかのプラグインにおいて昨日セキュリティ修正版がリリースされています。すべて最新の状態を維持して安全性を確保しましょう。プラグイン開発者の方はこちらの記事を参照してあなたのプラグインが同様の問題の影響を受けていないことを確認してください。セキュリティチームと密に連携をとって協調対応を行ってくれたすべてのプラグイン開発者の皆さん、ありがとうございました。

WordPress 4.2 のテストはもう行っていますか？ 今回の修正が含まれているリリース候補の第3弾が公開されています(zip)。4.2 に関するさらに詳しい情報はリリース候補のお知らせ記事をご覧ください。

以下は、Andrew Nacin が書いた WordPress.org 公式ブログの記事、「WordPress 4.0.1 Security Release」を訳したものです。

WordPress 4.0.1 の日本語版は現在準備中です。
WordPress 4.0.1 の日本語版はこちらからダウンロードできます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください。

---

WordPress 4.0.1が利用可能になりました。このリリースは、これまでのすべてのバージョンのための重要なセキュリティリリースであり、すぐにサイトを更新することを強くお勧めします。

自動バックグラウンド更新をサポートしているサイトは、今後数時間以内のうちに WordPress 4.0.1に更新されます。WordPress 3.9.2、3.8.4、または3.7.4にとどまっている場合は、安全性を維持するために3.9.3、3.8.5、または3.7.5に更新されます。（古いバージョンはサポートされません。最新の 4.0.1にアップデートするようにしてください）

WordPress のバージョン3.9.2およびそれ以前のバージョンのサイトは、匿名ユーザーによるサイトへの不正侵入を招くかもしれない重大なクロスサイトスクリプティング脆弱性の影響を受けています。これは Jouko Pynnonen によって報告されました。この問題はバージョン4.0には影響しませんが、バージョン4.0.1は以下の8つのセキュリティ問題に対処しています。

• 寄稿者または投稿者によってサイトを侵害するために使用できるかもしれない3件のクロスサイトスクリプティングの問題。これは WordPress のセキュリティチームの Jon Cave、Robert Chapin、そして Robert Chapin によって発見されました。
• 自分のパスワードを変更するようにユーザーをだますのに使用されるかもしれないクロスサイトリクエストフォージェリ。
• パスワードのチェック時にサービス妨害を招きかねない問題。Javier Nieto Arevalo と Andres Rojas Guerrero によって報告されました。
• WordPress が HTTP 要求を行うときのサーバー側リクエストフォージェリ攻撃のための追加的な保護。Ben Bidner (vortfu) によって報告されました。
• 極めてまれなハッシュ衝突と2008年以降ログインしていない場合 (冗談ならいいんですが) にユーザーのアカウントが危険にさらされる可能性。David Anderson によって報告されました。。
• (パスワードのリセット作業手続き開始後に)ユーザーが自分のパスワードを覚えていてログインし、自分のメールアドレスを変更した場合、WordPress はパスワードリセットメール内のリンクを無効にするようにしました。この件は Momen Bassel、Tanoy Bose、および ManageWP の Bojan Slavković によって別々に報告されました。

バージョン4.0.1はまた、4.0の23個のバグを修正し、アップロードされた写真から抽出する EXIF データのより良いバリデーションを含む2件のセキュリティ強化のための変更を行いました。Chris Andrè Dale によって報告されました。

これらの情報が直接わたしたちのセキュリティチームに責任をもって開示されたことに感謝します。このリリースの詳細については、リリースノートまたは変更リストを参照してください 。

では、WordPress 4.0.1をダウンロードするか、ダッシュボード→アップデートを開き「いますぐ更新」をクリックしてください。

すでに WordPress 4.1をテスト中ですか?であれば、これらのセキュリティ修正が含まれた2つ目のベータ版が利用可能になっています (zip)。4.1の詳細については ベータ1のアナウンスご覧ください 。