[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在



2015年04月28日 07時01分 更新
「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在
セキュリティ企業によれば、WordPress 4.2、4.1.2、4.1.1、3.9.3の各バージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在する。

l_wdprs01 WordPressは4月27日、コンテンツ管理システム(CMS)最新版の「WordPress 4.2.1」を公開し、深刻な脆弱性に対処したことを明らかにした。脆弱性はこれまでの全バージョンに存在するといい、ユーザーに対して自分のWebサイトを直ちにアップデートするよう強く勧告している。

 これに先立ちフィンランドのセキュリティ企業Klikkiは4月26日に公開したアドバイザリーで、WordPress 4.2、4.1.2、4.1.1、3.9.3の各バージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在することを確認したと伝えていた。

 Klikkiによれば、この問題を悪用された場合、認証を受けない攻撃者がWordPressのコメントにJavaScriptを挿入して、サーバ上で任意のコードを実行したり、管理者パスワードの変更や新しい管理者アカウントの追加といった操作をすることが可能になるという。この脆弱性を突くコンセプト実証コードやデモ映像も公開している。

 脆弱性報告を巡ってKlikkiは、「2014年11月からWordPressに連絡を取ろうと試みてきたが、すべて拒否された」と訴えていた。

動画でも脆弱性情報を提供したKlikki
 WordPressは別の深刻な脆弱性を修正したバージョン4.1.2が4月21日に公開された。バージョン4.2(Powell)は同月23日に正式公開されたばかりだった。

WordPress、緊急アップデートを公開–乗っ取りを可能にする脆弱性に対処
Zack Whittaker (ZDNet.com) 翻訳校正: 編集部 2015年04月28日 12時24分

 世界中に普及しているブログプラットフォーム「WordPress」を乗っ取る概念実証コードが公開された。

 この概念実証コードは、クロスサイトスクリプティング(XSS)攻撃を実施するものであり、攻撃者がこれを悪用すれば、パスワードの変更や新たなアカウントの作成によって、WordPressを実行しているサーバ全体を乗っ取ることも可能だ。

 こうした攻撃は、WordPressのコメント欄にコードを注入し、その後大量のテキスト(64Kバイト超)を追加することで可能になる。WordPressのデフォルト設定では、ユーザーの最初のコメント投稿は承認されるまで公開されない。このため攻撃者は何の変哲もないコメントを最初に書き込んで管理者を騙し、自動承認されるようにしたうえで、悪意のあるコメントを書き込むことになる。

 影響を受けるWordPressのバージョンは3.9.3、4.1.1、4.1.2、最新版の4.2だ。

 セキュリティ企業Klikki Oyに勤務し、フィンランドを拠点に活動するJouko Pynnönen氏は、同社のサイトでこの概念実証コードを解説している。この攻撃手法はつい最近公開、対処された類似の攻撃を応用したものとなっている。

 Pynnönen氏によると、同氏は2014年11月以来WordPressと連絡を取ろうとしてきたが「一切のコミュニケーションを拒絶された」ため、この脆弱性の公開に踏み切ったという。

 WordPressは米国時間4月27日、「深刻な」セキュリティアップデートとして「WordPress 4.2.1」を公開し、この問題に対処した(なお米ZDNetが同日、WordPressに電子メールでコメントを求めたが、回答は得られなかった)。





FavoriteLoadingお気に入りAdd to favorites
「WordPress 4.3」が公開 – セキュリティ強化や180のバグ修正を実施... 「WordPress 4.3」が公開 - セキュリティ強化や180のバグ修正を実施 コンテンツマネジメントシステム(CMS)「WordPress」の開発者グループは、新版となる「同4.3」を提供開始した。 同バージョンは、ジャズシンガーのBillie Holidayにちなみ、「Bil...
WordPressへフォームを設置するプラグイン「Ninja Forms」に深刻な脆弱性... WordPressへフォームを設置するプラグインに深刻な脆弱性 WordPressにフォームを追加するプラグイン「Ninja Forms」に脆弱性が含まれていることがわかった。セキュリティ機関が注意を呼びかけている。 脆弱性情報のポータルサイトであるJVNによれば、フォームより送信された...
WordPress向けフォームプラグイン「Ninja Forms」に脆弱性... WordPress向けフォームプラグインに脆弱性 WordPress向けに提供されているフォームプラグイン「Ninja Forms」に脆弱性が含まれていることがわかった。 「同2.9.18」にクロスサイトスクリプティングの脆弱性が含まれていたもので、以前のバージョンも影響を受ける。 ...
「WPTouch」など多数のWordPressプラグインに脆弱性... 「WPTouch」など多数のWordPressプラグインに脆弱性 WordPress向けに提供されている複数のプラグインから、クロスサイトスクリプティングの脆弱性が見つかっているとして、セキュリティベンダーが注意を呼びかけている。関数の誤使用に起因し、多数のプラグインが影響を受けているという。...
Lenovo、今度はThinkPadにユーザーデータ収集ソフトを潜ませていた... 2015年9月25日 20時59分 Lenovo、今度はThinkPadにユーザーデータ収集ソフトを潜ませていた 今年2月、中国メーカーのLenovoが、販売しているノートパソコンへ密かに凶悪なアドウェアを混入していることが発覚しましたが、今回新たに、ユーザーデータを収集するソフトウェアを埋...
中国百度アプリに暗号化の不備、個人情報漏えいも=調査... 中国百度アプリに暗号化の不備、個人情報漏えいも=調査 ロイター 2月24日(水)16時42分配信 [シンガポール/北京 24日 ロイター] - 中国ネット検索大手の百度(バイドゥ)<BIDU.O>が、セキュリティーに不備のあるアプリを介して利用者の個人情報を収集しており、そうした情報の多くが...
ワードプレスの脆弱性問題で6万件以上の改ざん被害、日本でも攻撃量が急増... ワードプレスの脆弱性問題で6万件以上の改ざん被害、日本でも攻撃量が急増 2017年02月10日 12時19分 Sucuri社のブログ 株式会社サイバーセキュリティクラウドは9日、同社によるサイバーセキュリティに関する意識喚起「サイバー攻撃速報」において、WordPressの脆弱性を狙うサイバ...
Google Analytics連携用のWordPress向けプラグイン「Google Analyt... 「Google Analytics」連携用のWordPress向けプラグインに脆弱性 「Google Analytics」との連携を実現する「WordPress」向けプラグイン「Google Analyticator」に脆弱性が含まれていたことがわかった。アップデートが公開されている。...
公開済「WordPress 4.7.2」では深刻な脆弱性を修正 – 1週間遅れで情報開示... 公開済「WordPress 4.7.2」では深刻な脆弱性を修正 - 1週間遅れで情報開示 コンテンツマネジメントシステム(CMS)である「WordPress」の開発チームは、1月26日にセキュリティリリースとして公開した「WordPress 4.7.2」において、当初明らかにしていた脆弱性にく...
WordPressに脆弱性 – US-CERT United States Computer Emergency Readiness Team (US-CERT)は5月9日(米国時間)、「WordPress Releases Security Update」において、WordPress 4.5.1およびこれよりも前のバージョンに2つのセキュリティ...

コメントを残す