カテゴリー: Security

WordPress 3.1.3、WordPress 3.2 ベータ 2

投稿日: 投稿者: Naoko Takanoカテゴリー Development, Releases, Security

以下は、Mark Jaquith が書いた WordPress.org 公式ブログの記事、「WordPress 3.1.3 (and WordPress 3.2 Beta 2)」を訳したものです。

追記 (6/5): WordPress 3.2 beta 2 日本語版が利用可能になりました。ぜひテストにご協力ください。

WordPress 3.1.3 がご利用いただけるようになりました。これは、以前のバージョン全てに対するセキュリテイアップデートであり、以下のセキュリティ修正と改善を含んでいます。

  • Alexander Concha による各種セキュリティ強化
  • John Lamansky によるタクソノミークエリ関連の補強
  • カノニカルリダイレクトを利用した投稿者以外のユーザー名情報傍受の防止。Props: Verónica Valeros
  • Microsoft 社の Richard Lundee 氏および Jesse Ou 氏、また マイクロソフト脆弱性調査 によるメディアセキュリティの修正
  • 危険なセキュリティ設定を行っているサーバー上でのファイルアップロードセキュリティを向上
  • インポートが完了しなかった場合古い WordPress インポートファイルを削除
  • モダンブラウザ上の管理画面及びログイン画面で、「クリックジャック」に対する防御策を導入

詳細については更新履歴ページをご覧ください。

WordPress 3.1.3 (英語版) をダウンロードするか、管理画面の「更新」メニューからアップグレードを行ってください。

WordPress 3.2 ベータ 2 も公開しました

もうひとつのニュースです。WordPress 3.2 開発スケジュールは予定通り進んでいます。ベータ 1を13日前にリリースしましたが、本日ベータ2をテスト用に公開できるようになりました。

これはまだベータ版のソフトです。稼働中の公開サイトに利用することはおすすめしません。ですが、プラグインやテーマ作者の皆さんやサイト管理者の方はテスト環境で動かして、発見したバグを報告してください。プレゼントを開けるのを待ちきれないという方は、テスト用の新規サイトを5分間インストールで作成してみてください。ご意見お待ちしています!

計画としては、6月初旬にリリース候補 (RC) 版をリリースし始め、来月末までに WordPress 3.2 を完成させる予定です。ベータ期間中に問題を早めに解決することが出来れば、計画通りに進められる可能性も高まります。マハトマ・ガンジーの言葉をアレンジして流用させてもらえば、「WordPress リリースが計画通りに進んで欲しいと望むなら、あなた自身が行動を起こしなさい」ということです。つまり、今すぐテストをお願いします !

ベータ 1 からの変更点は以下のとおりです。

  • Google Chrome フレームをインストールしている場合、管理画面で対応。IE6 ユーザーには特に便利です (お忘れなく、これ以外では IE6 の管理画面対応は終了します) 。
  • 管理画面を IE7 でもう少し見やすくしました。
  • 青系統の管理画面カラーもグレー系統同様に新 UI でテストできるようになりました。
  • jQuery 1.6.1を同梱しています。jQuery を使っているプラグインなどではテストが必要です。WordPress における JavaScript の第一人者、Andrew Ozz がさらに詳しく開発ブログに書いています

それでは、Download WordPress 3.2 ベータ 2 (英語版) をどうぞ。

追記(6/5): WordPress 3.2 ベータ 2 日本語版 のテストもぜひご協力ください。

WordPress 3.1.2

投稿日: 投稿者: Naoko Takanoカテゴリー Releases, Security

以下は、Ryan Boren が書いた WordPress.org 公式ブログの記事、「WordPress 3.1.2」を訳したものです。

WordPress 3.1.2 日本語版は現在準備中です。

WordPress 3.1.2 がご利用いただけるようになりました。これは、過去すべての WordPress バージョンに対するセキュリティリリースです。

このリリースでは、貢献者権限グループのユーザーが投稿を不正に公開できてしまうという脆弱性に対応しています。

この問題は、私たちのセキュリティチームの一員である、WordPress 開発者 Andrew Nacin により、Benjamin Balter の協力のもとに発見されました。

みなさんに、3.1.2 に素早くアップグレードを行うことをおすすめします。特に、誰でも貢献者レベルのユーザーとして登録できるようにしているサイトや、信頼できないユーザーがいるサイトでは注意が必要です。

このリリースではさらに、3.1.1 に間に合わなかったバグもいくつか修正しています。

バージョン 3.1.2 (英語版) をダウンロードするか、管理画面ダッシュボードの「更新」メニューからアップグレードを行ってください。

WordPress 3.1.1

投稿日: 投稿者: Naoko Takanoカテゴリー Releases, Security

以下は、Ryan Boren が書いた WordPress.org 公式ブログの記事、「WordPress 3.1.1」を訳したものです。

WordPress 3.1.1 日本語版をダウンロード

WordPress 3.1.1 がご利用いただけるようになりました。このメンテンナンスおよびセキュリティリリースでは、バージョン 3.1 にあった30件弱のバグを修正しています。以下で一部をご紹介します。

  • メディアアップロードに関するセキュリティ強化
  • パフォーマンス向上
  • IIS6 対応のための修正
  • タクソノミーおよび PATHINFO (/index.php/) パーマリンク修正
  • クエリおよびタクソノミーとプラグイン互換性に関する各種エッジケース (まれに起こる問題) 向けの修正

バージョン 3.1.1 ではさらに、WordPress コア開発者でありセキュリティチームに属するジョン・ケーヴピーター・ウエストウッドが発見したセキュリティ問題3点にも対処しています。一つ目は、メディアアップローダーでの CSRF 阻止の強化。二つ目は、一部の環境において、非常に悪意を込めて作成されたリンクがコメントに含まれていた場合の PHP クラッシュの防止。三つ目は、XSS 問題の修正です。

みなさんへ、すぐに 3.1.1 にアップグレードすることをおすすめします。バージョン 3.1.1 英語版をダウンロードするか、管理画面ダッシュボードの「更新」メニューから自動アップロードしてください。

リリースに向けた Haiku をここで一句。

Only the geeks know
What half this stuff even means
Don’t worry — update

(訳注: ギークだってこのうちの半分くらいしかよく分からないはず。でもご心配なく。とにかくアップグレード !)

WordPress 3.0.5 (そして、3.1 リリース候補 4)

投稿日: 投稿者: Naoko Takanoカテゴリー Releases, Security, TestingWordPress 3.0.5 (そして、3.1 リリース候補 4) への1件のコメント

以下は、Andrew Nacin が書いた WordPress.org 公式ブログの記事、「WordPress 3.0.5 (and 3.1 Release Candidate 4)」を訳したものです。

WordPress 3.1 RC4 日本語版をダウンロード

不具合を見つけた場合は、開発版フォーラムまでお知らせください。

WordPress 3.0.5 がご利用いただけるようになりました。これはセキュリティ向上のための更新で、過去すべての WordPress バージョンに向けたものです。

このセキュリティリリースは、信頼性の低いユーザーアカウントが存在する場合必須となりますが、それ以外にも重要なセキュリティ改善・向上が含まれています。すべての WordPress ユーザーの皆さんに、アップグレードを強くおすすめします。

Three point oh point five
Enhances security
Three point one comes soon

上記「Haiku」の解説: 「3.0.5 ではセキュリティを改善。3.1 がもうすぐやってきます」

このリリースでは数多くの問題を解決するとともに、二つの機能強化も追加しています。

中程度のセキュリティ問題二点を解決。寄稿者または投稿者レベルのユーザーがサイトへのさらなるアクセスを行える可能性がある点を修正した。

情報公開に関する問題を一点解決。投稿者レベルのユーザーが、下書きやプライベート状態の投稿など、本来閲覧すべきでないコンテンツを表示できてしまう点を修正した。

セキュリティ強化を二点追加。セキュリティ API を適切に活用していないプラグインのセキュリティを改善。また、以前のリリースで修正された脆弱性に対するさらなる防衛策を追加した。

上記の問題のうち二つについては、Nils Jueneman 氏、そして Saddy 氏が非公開かつ責任あるセキュリティ問題の指摘を security@wordpress.org に対して行なってくださった事に心より感謝します。その他の問題はセキュリティチームによって報告、修正されました。

3.0.5 (英語版) をダウンロードするか、ご自分のサイトのダッシュボードの「更新」メニューから更新を行ってください。すぐに更新することをおすすめします !

WordPress 3.1 リリース候補 4 も公開しました

リリース候補 4ビルドには 3.0.5 のセキュリティ修正および20数個のバグ修正が含まれています。修正された内容の一部は、以下のとおりです。

  • ユーザーの削除に伴って別の投稿者に投稿を割り当てられる機能を追加
  • マルチサイトで複数のユーザーやサイトをスパムと判定できる機能を追加
  • PHP4 との互換性対応

これまでリリース候補版に関するブログ投稿でもお話ししたとおり、リリース候補版をテストしてバグを見つけたと思った場合は報告する方法がいくつかあります。

WordPress 3.1 をテストするには、WordPress ベータテスタープラグインをお試しください (「最新版ナイトリービルド」を選択) 。または リリース候補版をこちらからダウンロード (zip、英語版) してください。もし何か問題が発見されたら、Trac で確認できます。

5ヶ月間近くの開発とテストを経て、最終リリースにかなり近付けていると感じています。ユーザーと開発者の皆さん、テーマとプラグインをしっかりテストしてください。

それでは、WordPress 3.1 RC4 または WordPress 3.0.5 を今すぐダウンロードしてください。

3.0.4 重要なセキュリティアップデート

投稿日: 投稿者: JOTAKI, Taisukeカテゴリー Security3.0.4 重要なセキュリティアップデート への1件のコメント

以下は、Matt Mullenweg が書いた WordPress.org 公式ブログの記事、「3.0.4 Important Security Update」を訳したものです。

WordPress 3.0.4 日本語版は現在準備中ですが、セキュリティ修正をすぐに適用したい方は一旦英語版にアップグレードすることもできます。この場合、管理画面の一部のメニューなどが翻訳されずに英語で表示されることがあります。

WordPress 3.0.4 は管理パネルダッシュボードの更新ページから今すぐ利用できます。もしくはこちらからダウンロードしてください。このアップデートはとても重要なので、な るべく早く適用してください。このアップデートでは HTML をサニタイズする KSES と呼ばれるライブラリーにあるコアのセキュリティバグを修正します。このリリースをランク付けするなら、”critical” (重要) になります。

休み期間中のアップデートは楽しいものではないと思いますが、これはご馳走をおろして取り掛かる必要があるくらい重要です。休み期間中の歳末たすけあいの精神で、お友達のアップデートも手伝ってあげてください。

セキュリティ研究者の方は、今回の修正を確認してレビューしてもらえるとたいへん助かります。私たちはかなり熟考してレビューしましたが、この修正はコアな部分なので、できるたけたくさんの方に確認してもらいのです。これらの XSS 脆弱性を最初に見つけて私たちに警告してくれた Mauro GentileJon Cave (duck_) に感謝します。

WordPress 3.0.3

投稿日: 投稿者: Naoko Takanoカテゴリー Releases, SecurityWordPress 3.0.3 への1件のコメント

以下は、Peter Westwood が書いた WordPress.org 公式ブログの記事、「WordPress 3.0.3」を訳したものです。

WordPress 3.0.3 日本語版をダウンロードしてください。
WordPress 3.0.3 日本語版は現在準備中ですが、セキュリティ修正をすぐに適用したい方は一旦英語版にアップグレードすることもできます。この場合、管理画面の一部のメニューなどが翻訳されずに英語で表示されることがあります。

WordPress 3.0.3 がご利用いただけるようになりました。これまでにリリースされたすべての WordPress バージョンに対するセキュリティアップデートです。

このリリース (原文) では、リモートパブリッシングインターフェースの修正が加わっています。修正されたのは、特定の状況において投稿者または寄稿者権限のユーザーが本来権限のない投稿を編集、公開、削除できてしまうという点です。

これらの問題の影響を受けるのはリモートパブリッシングを有効化しているサイトのみです。

リモートパブッシングはデフォルトでは無効化されていますが、WordPress モバイルアプリなどを使うためには必要になります。設定を確認するには、管理画面の「設定 → 投稿設定」をご覧ください。

3.0.3 (英語版) をダウンロードするか、「ダッシュボード > 更新」からワンクリックアップグレードを行ってください。

WordPress 2.8.6 セキュリティリリース

投稿日: 投稿者: Naoko Takanoカテゴリー Releases, SecurityWordPress 2.8.6 セキュリティリリース への13件のコメント

以下は、2009年11月12日に書かれた WordPress.org 公式ブログの記事、「WordPress 2.8.6 Security Release」を訳したものです。リンク先はすべて英語になります。

日本語版は現在作成中です。

バージョン 2.8.6 では、投稿権限があるログイン中の登録ユーザーによって悪用される可能性があるセキュリティバグを2箇所修正しています。もしご利用中のブログに信用できない投稿者が存在する場合は、2.8.6 へのアップグレードをおすすめします。

一つ目の問題点は、ベンジャミン・フレッシュ氏が発見した「Press This」ブックマークレットの XSS 脆弱性です。二つ目の問題点はダウィッド・ゴランスキ氏が発見したアップロードファイル名のサニタイズに関するものです。ある Apache 設定のもとでは脆弱性があることが確認されました。これらを発見し、報告してくれたベンジャミンとダヴィッドに感謝します。

WordPress 2.8.6 英語版をダウンロード

WordPress を安全に使い続ける方法

投稿日: 投稿者: Naoko Takanoカテゴリー Development, SecurityWordPress を安全に使い続ける方法 への23件のコメント

以下は、2009年9月5日に書かれた WordPress.org 公式ブログの記事、「How to Keep WordPress Secure」を訳したものです。本文内のリンク先はすべて英語ページです。

ほころびは早めに直せば後の手間がずいぶん省けます。私は縫い物は下手ですが、ブロガーに対してもあてはまるアドバイスだと思います。今すぐにアップグレードの作業をちょっと行うことで、後から色々と修正する労力がかなり省けます。

現在、修正パッチをあてられていない古いバージョンの WordPress に対するワーム(ウィルス)が広がり始めています。このワームは、過去の多くのものと同様に、巧みにできています。ユーザー登録を行い、パーマリンクを使って評価されたコードを実行するセキュリティバグ(今年初旬に修正済み)により自身を管理者に設定します。さらに JavaScript を使って管理画面のユーザーページに自身のアカウントが表示されないようにしながら、まったく気づかれないよう静かに古い記事へ隠しスパムリンクやマルウェアを埋め込んでいきます。

この方法自体は新しいものですが、戦略は前からあるものです。このワームの失敗点は、「クリーンアップ」の段階です。自身をうまく隠すことができておらず、ブロガーはリンクが壊れていることに気づいてしまいます。これにより、詳しく調査を行うことになり、さらに拡大した被害に気づくことになります。古いワームはサイトに落書きをしたりといった子供っぽいことをやっていましたが、この新しいタイプはひっそりとしており、目に見えません。そこで、(今回のように)ワームがどこかで失敗した場合や、スパムやマルウェアの影響によりサイトが Google インデックスから外されたときにやっと気がつくことになります。

この話をしているのは皆さんを脅かすためではなく、このような事態は過去にも起こったことがあり、おそらく今後も起こるだろうというのを強調するためです。

ほころびは早めに直せば後での手間がずいぶん省けるのです。アップグレードは結構な手間の作業です。同時に、WordPress コミュニティは、ワンクリックアップグレードを通して出来るだけ簡単にアップグレードができるようにかなり努力してきました。一方、ハックされたブログを修正するのはかなり大変です。アップグレードは栄養ある食事を摂取するようなもので、ハッキングを修正するのは心臓切開手術のようなものです(労力のみでなくコストの面でも同様のことが言えます)。

最新バージョンの WordPress である2.8.4はこのワームの影響を受けません(この前のリリースも同様です)。もしアップグレードをしようと思っていてまだやっていない場合、今やるのはとても良いタイミングです。もし自分のブログをアップグレードの場合は、友達やいつも呼んでいるブログが協力を必要としているかどうかチェックしてみましょう。ほころびは早めに直すべきです。

ワームが出回り始めるといつも、誰もがセキュリティの専門家になりきって、まったくあてにならない話、ハンドルロック方式の解決法、もしくは本当の解決法の3種類のアドバイスのうちいずれかをふれ回るものです。まったくあてにならない話は明らかなので、すぐに発見できるでしょう。「WordPress のバージョンを隠せば大丈夫」?いや、ワーム制作者もそんなのはお見通しです。ワームのバージョン1.0では WordPress のバージョン数をチェックしていたかもしれませんが、バージョン2.0では単に権限をテストしているかもしれません。

2つ目の種類のアドバイスは、ハンドルロック方式の解決法です。これを説明するには、マーク・ピルグリムが(WordPress がまだ存在していなかった)7年前に書いた、スパムに関するすばらしいエッセイから引用させてもらいます。

ゲームセオリーの観点から見たこういったアプローチに関する非常に面白い点は、これらはすべてロジャック方式ではなくてハンドルロック方式の解決法であるということです。車の盗難を防ぐには、基本的に二つの方法があります。ハンドルロック(または「シールド」、盗難防止警報器など)方式、そして、ロジャック方式です。ハンドルロック方式はあなたの車を盗もうと決意している窃盗犯に対し、たいした防御を行うわけではありません。カギ穴にドリルで穴を開けるか、ハンドルを切りとってハンドルロックをスライドさせて外すのは簡単です。しかし、誰かの車を盗みたい窃盗犯に対しては、効果的な防御法となります。なぜなら、たいてい窃盗犯は急いでいるので、最も簡単なターゲットを狙うからです。ハンドルロック方式は、全員が装着していない場合にのみ有効です。もし全員が使っている場合はどの車を盗むのも同じくらい難しいため、どれを盗むかの判断は他の要因に基づくことになり、あなたの車も他の車と同じくらい脆弱ということになってしまいます。ハンドルロックは窃盗犯を阻止するのではなく、注意をそらすだけです。

ハンドルロック方式のブログセキュリティ策は簡単なもの(.htaccess ファイルなど)も非常に複雑なもの(二因子認証など)あり、実際に効果があるかもしれません。特に既知の弱点に対しては効果があります。強度が高く複雑なログインパスワードを使うなどのハンドルロック式セキュティは役に立つことがありますし、これをお勧めしない理由はとくにありません(この方式の他の解決法として、あまりポピュラーでないけれどより完璧で安全だと主張するソフトウェアにスイッチするという方法もあります。これは、BeOS のほうが Linux よりも安全な理由です…よね?)。

自動車業界では、車を修理工場にテレポートする方法をだれかが考え出したら、ハンドルロック方式はもう役立たなくなってしまうでしょう。ハンドルロックの製造業者にとって幸運なことに、まだ実際にそういうことは起こっていません。しかしオンラインやソフトウェアの世界は、同様のことが毎日のように起こっています。本当の解決法は一つしかありません。今日、そして今後あなたがブログを安全に続けられる約束できる方法はただひとつ、アップグレードを行うことです。

WordPress は、何百人もの人が毎日コードを読み、検査を行い、更新し続けているコミュニティです。また、私たちは皆さんのブログを安全に保つために、前のリリースから数週間という間隔であったとしてもアップデートのリリースを行っています。そうすることで我々が格好悪く見えることもあっても、更新を行うことで皆さんのブログを悪人の手から守れるからです。

私には透視能力はありませんし、将来スパマー、ハッカー、クラッカー、詐欺師がどんな計画を練ってブログに危害を加えるのかを予測することは出来ません。でもWordPress が存在する限り、私たちは全力を持ってこのソフトの安全性を確保していきたいと思っています。コアやプラグインのアップグレードは、すでにワンクリックで行えるようになっています。もし何かが壊れていたら、修正をリリースします。どうか、アップグレードを行ってください — それが、お互いを助けるための唯一の方法です。