カテゴリー: Security

以下は、Andrew Nacin が書いた WordPress.org 公式ブログの記事、「WordPress 3.9.2 Security Release」を訳したものです。

WordPress 3.9.2 の日本語版は現在準備中です。
WordPress 3.9.2 の日本語版はこちらからダウンロードできます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください。

過去すべてのバージョンに対するセキュリティリリースとして WordPress 3.9.2 がご利用いただけるようになりました。サイトをいますぐ更新されることを強くおすすめします。

このリリースでは、Salesforce.com のプロダクトセキュリティチームの Nir Goldshlager によって報告された PHP の XML 処理に含まれるサービス妨害 (DoS) 問題の可能性を修正しています。WordPress セキュリティチームの Michael Adams と Andrew Nacin、そして Drupal セキュリティチームの David Rothstein が修正を行いました。2つのプロジェクトがセキュリティリリースのために共同で調整を行ったのは今回が初めてのことです。

WordPress 3.9.2 には他のセキュリティ関連の変更も含まれています。

• WordPress セキュリティチームの Alex Concha が発見した、ウィジェットを処理する際に低い確立でコードが実行される可能性のある問題を修正 (WordPress はデフォルトではこの影響を受けません) 。
• ONSec の Ivan Novikov によって報告された、外部 GetID3 ライブラリでの XML 実体参照攻撃を通じた情報の開示を防止。
• Google セキュリティチームの David Tomaschik によって報告された、CSRF トークンへの総当たり攻撃に対する保護を追加。
• 管理者のみによってトリガーされる可能性のあるクロスサイトスクリプティングの防止など、追加のセキュリティ強化。

これらの問題に対し、私たちのセキュリティチームに責任ある情報開示をしてくださったことに感謝します。さらに詳しい情報についてはリリースノートまたは変更点一覧をご覧ください。

WordPress 3.9.2 (英語版、日本語版はこちら) をダウンロードするか、「ダッシュボード → 更新」へ移動して「いますぐ更新」をクリックしてください。

自動バックグラウンド更新に対応しているサイトは12時間以内に WordPress 3.9.2 へ更新されます (もしまだ WordPress 3.8.3 または 3.7.3 をお使いの場合も、3.8.4 または 3.7.4 に自動更新されます。過去のバージョンはサポートしていませんので、最新の 3.9.2 にぜひアップグレードして下さい) 。

WordPress 4.0 をすでにテスト中の方へ。ベータ3がすでにダウンロード可能 (zip) になっており、これらのセキュリティ修正が含まれています。

以下は、Andrew Nacin が書いた WordPress.org 公式ブログの記事、「WordPress 3.8.2 Security Release」を訳したものです。

WordPress 3.8.2 の日本語版はこちらからダウンロードできます。

誤字脱字誤訳等ありましたらフォーラムまでお知らせください。

WordPress 3.8.2 がご利用いただけるようになりました。これは過去のバージョンすべてに対する重要なセキュリティリリースで、サイトをすぐにアップグレードすることを強くおすすめします。

このリリースでは認証 Cookie を偽装することで攻撃者がサイトに侵入できてしまう可能性がある脆弱性を修正しました。この問題は WordPress セキュリティチームの Jon Cave が発見し、修正を行いました。

また、寄稿者権限を持つユーザーが投稿を不適切に公開できてしまうバグの修正も含まれています。edik により報告されました。

今回のリリースは、他にも9つのバグ修正と3つのセキュリティ強化に関する変更を含んでいます。

• ピンバックを処理する際にホストが不正なリクエストを認識できるよう、追加情報を渡すことにした。
• 信頼できるユーザーによる影響度の低い SQL インジェクション脆弱性を修正。dxw の Tom Adams からの報告。
• Pulupload (WordPress のファイルアップロードに使われているサードパーティ製ライブラリ) を通じたクロスドメインスクリプティングの可能性を防ぐようにした。Szymon Gruszecki からの報告。

これらのセキュリティ問題を安全な方法でセキュリティチームに直接ご報告いただきありがとうございます。すべての変更についての詳しい情報は、リリースノートまたは変更一覧をご覧ください。

WordPress 3.8.2 をダウンロードする (英語版) か、管理画面の「ダッシュボード → 更新」で「いますぐ更新」をクリックしてください。

自動バックグラウンド更新に対応しているサイトは12時間以内に WordPress 3.8.2 へ自動的に更新されます。まだ WordPress 3.7.1 をお使いの場合は、3.7.2 へ更新されます。こちらにも 3.8.2 と同様のセキュリティ修正が含まれています。旧バージョンはサポート外ですので、ぜひ 3.8.2 にアップグレードしてください。

WordPress 3.9 をすでにテスト中の方は RC 1 版がご利用いただけます (zip、英語版) 。こちらにも同じくセキュリティ修正が含まれています。後ほど詳しい告知を行いますが、3.9 は来週リリースの予定です。

以下は、Andrew Nacin が書いた WordPress.org 公式ブログの記事、「WordPress 3.6.1 Maintenance and Security Release」を訳したものです。

WordPress 3.6.1 日本語版は現在準備中ですこちらからダウンロードできます。

WordPress 3.6は700万回近くダウンロードされましたが、新しいバージョン3.6.1の提供を開始したことをお知らせいたします。これはメンテナンスリリースで、とてもスムースなリリースであったバージョン3.6の13個のバグを修正しています。

WordPress 3.6 はまた、これまで以前のすべてのバージョンのへのセキュリティフィックスでもあります。したがって、すべてのサイトをアップデートするよう強くおすすめします。

• 限られた状況と環境でのリモートコードの実行を導きかねない安全ではないPHPのアンシリアライズをブロックするようにしました。Tom Van Goethem により報告されました。
• 投稿者権限（Author）が特別巧妙なリクエストを使い、別のユーザーになりすまして投稿を作成できるバグを防ぐようにしました。Anakorn Kyavatanakij により報告されました。
• ユーザーを別のサイトに導く結果をもたらしかねない不十分な入力バリデーションを修正しました。Dave Cummo, a Northrup Grumman subcontractor for the U.S. Centers for Disease Control and Prevention により報告されました。

さらに、ファイルアップロードまわりのセキュリティ制限を調整し、クロスサイトスクリプティングの潜在的な危険性を軽減しました。

これらの問題をわたしたちのセキュリティチームへ責任をもって直接伝えてくれたことに感謝します。今回の変更に関する詳細はリリースノート もしくは変更箇所リストを参照してください。

WordPress 3.6.1 をダウンロードするか 管理画面のダッシュボード→更新からアップデートしてください。

以下は、Andrew Nacin が書いた WordPress.org 公式ブログの記事、「WordPress 3.5.1 Maintenance and Security Release」を訳したものです。

WordPress 3.5.1 の日本語版は以下からダウンロードできます。

• wordpress-3.5.1-ja.zip

誤字脱字誤訳等ありましたらフォーラムまでお知らせください。

WordPress 3.5.1 がご利用いただけるようになりました。バージョン 3.5.1 は 3.5 系1つ目のメンテナンスリリースで、37個のバグ修正を含んでいます。これは同時に以前の WordPress バージョンすべてに対するセキュリティリリースでもあります。変更点すべてを知りたい方は、チケットリストおよび変更履歴をご覧ください。以下はその一部です。

• エディタ: まれに特定の HTML が意図せず除去または変更されてしまう問題を修正。
• メディア: 新メディアマネジャーのワークフローおよび互換性に関する軽微な問題を修正。
• サイトネットワーク: 新規ネットワークを作成する際に適切なリライトルールを指示。
• 予約済み投稿が公開される際に、動画埋め込みなど特定の HTML が除去される問題を解決。
• 管理画面まわりの JavaScript の一部がうまく動作しない原因の可能性となっていた設定の修正。
• プラグインがデータベースまたはユーザー API を誤って利用していた際の警告の一部を非表示。

さらに、IIS を動かしている Windows サーバーで 3.5 から 3.5.1 へアップグレードできないバグを修正しました。“Destination directory for file streaming does not exist or is not writable” というメッセージが表示される場合、Codex ドキュメンテーションの説明に従ってください。

WordPress 3.5.1 では以下に挙げたセキュリティ上の問題にも対応しています。

• ピンバック利用時のサーバーサイドリクエストフォージェリ脆弱性およびリモートポートスキャニング。情報を露呈し、サイトを危険にさらす可能性があるこの脆弱性は、これまでのすべてのバージョンの WordPress に影響します。この問題は WordPress セキュリティチームによって修正されました。我々の作業を精査してくれたセキュリティ研究者、Gennady Kovshenin と Ryan Dewhurst に感謝します。
• ショートコードおよび投稿コンテンツ経由のクロスサイトスクリプティング脆弱性。この問題は WordPress セキュリティチームの Jon Cave に寄って発見されました。
• 外部ライブラリ、Plupload のクロスサイトスクリプティング脆弱性。この問題の修正に協力し、Pulpload 1.5.5 をリリースしてくれた Moxiecode チームに感謝します。

3.5.1 をダウンロードするか、サイトの「ダッシュボード → 更新」画面からアップグレードを行なってください。

以下は、Andrew Nacin. が書いた WordPress.org 公式ブログの記事、「WordPress 3.4.2 Maintenance and Security Release」を訳したものです。

日本語版もリリースいたしましたので、ご利用ください。

WordPress 3.4.2 がダウンロードできるようになりました。以前のすべてのバージョンに対するメンテナンスとセキュリティのリリースです。

3ヶ月ほど前に3.4をリリース後、ほぼ1500万回のダウンロードがあり、 それ以来、たくさんのしつこいバグを特定し、修正してきました。その修正には以下が含まれます:

• 古いブラウザでの管理画面内のいくつかの問題を修正しました。
• テーマが正しくプレビューされなかったりそのスクリーンショットが表示されないことのある問題を修正しました。
• ビジュアルエディターとのプラグインの互換性を改善。
• いくつかのカテゴリーのパーマリンク構造でのページネーションの問題に対処。
• oEmbedプロバイダーとトラックバックの両方に関わるエラーを回避。
• 不適切な画像サイズのヘッダー画像がアップロードされるのを防止。

バージョン3.4.2ではまた、いくつかのセキュリティ問題を修正し、いくつかのセキュリティ強化を含んでいます。修正した脆弱性には、潜在的な権限昇格と信頼されていないユーザーとマルチサイトのインストールに影響を与えるバグが含まれています。これらの問題は WordPress のセキュリティチームによって発見され、修正されました。

3.4.2をダウンロード (英語版) (日本語版)するか、管理画面のダッシュボード→更新からアップデートしてください。

Fixes for some bugs
Back to work on 3.5
It’s time to update

以下は、Andrew Nacin. が書いた WordPress.org 公式ブログの記事、「WordPress 3.4.1 Maintenance and Security Release」を訳したものです。

日本語版もリリースいたしましたので、ご利用ください。

WordPress 3.4.1 がダウンロードできるようになりました。WordPress 3.4 はとてもスムースなリリースで、2週間で300万回ダウンロードされました！このメンテナンスリリースではバージョン3.4の以下を含む 18 のバグを修正しています。

• テーマのページテンプレートが検知されないことがある問題の修正
• カテゴリーパーマリンク構造に関する問題の対処
• プラグインもしくはテーマが JavaScript を間違って読み込むことに対するより良い処理
• iOS 6 デバイスの画像アップロードの初期サポートを追加
• ネットワーク全体での有効化をプラグインが検知するためによく利用されるテクニックの許可
• 警告を引き起こしたり、場合によってはメールの送信を妨げることのあった特定バージョンの PHP (5.2.4, 5.4) が動作しているサーバーや一般的ではない設定 (safe mode, open_basedir) がなされているサーバーでの互換性の改善

バージョン 3.4.1にはまた、いくつかのセキュリティ問題の修正とセキュリティ強化が含まれています。この脆弱性には潜在的な情報開示と信頼できないユーザーのいるマルチサイトインストールに影響するバグが含まれています。これらの問題は WordPress セキュリティチームによって発見され修正されました。

3.4.1 をダウンロードするか、管理画面のダッシュボード → 更新を開いて更新してください。

Green was a bit green
We have hardened it up some
Update WordPress now

WordPress 3.1.4 日本語版を公開しました。セキュリティアップデートとなりますので、速やかにアップグレードを行ってください。

日本語リソースのみダウンロード

以下は、Ryan Boren が書いた WordPress.org 公式ブログの記事、「WordPress 3.1.4 (and 3.2 Release Candidate 3)」を訳したものです。

追記 (7/1): おまたせしました！ WordPress 3.2 RC 3 日本語版が利用可能になりました。ぜひテストにご協力ください。

WordPress 3.1.4 が利用できるようになりました。これはいままでのすべてのバージョンに対するメンテナンスおよびセキュリティアップデートです。

このリリースでは、悪意ある編集者レベルのユーザーがさらに上のアクセス権を取得できてしまう問題を修正しています。知らせていただいた SEC Consult の K. Gudinavicius に感謝します。3.1.4 にはまた、WordPress 開発者の Alexander Concha と私たちのセキュリティチームの Jon Cave による他のいくつかのセキュリティフィックスとセキュリティ強化が含まれています。詳細はチェンジログを参照してください。

WordPress 3.1.4 をダウンロードするか、サイト管理画面のダッシュボード → 更新メニューからただちにアップデートしてください。

WordPress 3.2 リリース候補 3

このリリースは WordPress 3.2 の最終的なリリースの障害となっていたことすべてについて解消するものです。そしてここに３番目のリリース候補をアナウンスします。これには 3.1.4 の修正のすべて、マイナーな RTL、JavaScript、ユーザーインターフェースの修正が含まれます。また、3.2 が PHP 4 上で動かされた場合に適切に機能停止するようにしています。念のため再度お知らせしておくと、私たちはバージョン 3.2 での最低動作環境を PHP 5.2.4 と MySQL 5.0 に上げました。

WordPress 3.2 をテストするには、WordPress ベータテスタープラグイン (「最新版ナイトリービルド」を選択) が使えます。または、リリース候補版 3 の ZIP ファイルをダウンロード (英語版。WordPress 3.2 RC 3 日本語版もぜひよろしくお願いします)。プラグインの作者はこの段階で互換性を確認する最終的なテストを行ってください。

どこをテストすればよいかわからない場合は、ベータ 1 のブログ投稿の新機能一覧を御覧ください。