[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在



2015年04月28日 07時01分 更新
「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在
セキュリティ企業によれば、WordPress 4.2、4.1.2、4.1.1、3.9.3の各バージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在する。

l_wdprs01 WordPressは4月27日、コンテンツ管理システム(CMS)最新版の「WordPress 4.2.1」を公開し、深刻な脆弱性に対処したことを明らかにした。脆弱性はこれまでの全バージョンに存在するといい、ユーザーに対して自分のWebサイトを直ちにアップデートするよう強く勧告している。

 これに先立ちフィンランドのセキュリティ企業Klikkiは4月26日に公開したアドバイザリーで、WordPress 4.2、4.1.2、4.1.1、3.9.3の各バージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在することを確認したと伝えていた。

 Klikkiによれば、この問題を悪用された場合、認証を受けない攻撃者がWordPressのコメントにJavaScriptを挿入して、サーバ上で任意のコードを実行したり、管理者パスワードの変更や新しい管理者アカウントの追加といった操作をすることが可能になるという。この脆弱性を突くコンセプト実証コードやデモ映像も公開している。

 脆弱性報告を巡ってKlikkiは、「2014年11月からWordPressに連絡を取ろうと試みてきたが、すべて拒否された」と訴えていた。

動画でも脆弱性情報を提供したKlikki
 WordPressは別の深刻な脆弱性を修正したバージョン4.1.2が4月21日に公開された。バージョン4.2(Powell)は同月23日に正式公開されたばかりだった。

WordPress、緊急アップデートを公開–乗っ取りを可能にする脆弱性に対処
Zack Whittaker (ZDNet.com) 翻訳校正: 編集部 2015年04月28日 12時24分

 世界中に普及しているブログプラットフォーム「WordPress」を乗っ取る概念実証コードが公開された。

 この概念実証コードは、クロスサイトスクリプティング(XSS)攻撃を実施するものであり、攻撃者がこれを悪用すれば、パスワードの変更や新たなアカウントの作成によって、WordPressを実行しているサーバ全体を乗っ取ることも可能だ。

 こうした攻撃は、WordPressのコメント欄にコードを注入し、その後大量のテキスト(64Kバイト超)を追加することで可能になる。WordPressのデフォルト設定では、ユーザーの最初のコメント投稿は承認されるまで公開されない。このため攻撃者は何の変哲もないコメントを最初に書き込んで管理者を騙し、自動承認されるようにしたうえで、悪意のあるコメントを書き込むことになる。

 影響を受けるWordPressのバージョンは3.9.3、4.1.1、4.1.2、最新版の4.2だ。

 セキュリティ企業Klikki Oyに勤務し、フィンランドを拠点に活動するJouko Pynnönen氏は、同社のサイトでこの概念実証コードを解説している。この攻撃手法はつい最近公開、対処された類似の攻撃を応用したものとなっている。

 Pynnönen氏によると、同氏は2014年11月以来WordPressと連絡を取ろうとしてきたが「一切のコミュニケーションを拒絶された」ため、この脆弱性の公開に踏み切ったという。

 WordPressは米国時間4月27日、「深刻な」セキュリティアップデートとして「WordPress 4.2.1」を公開し、この問題に対処した(なお米ZDNetが同日、WordPressに電子メールでコメントを求めたが、回答は得られなかった)。





FavoriteLoadingお気に入りAdd to favorites
WordPress用プラグイン「Welcart e-Commerce」の脆弱性を公表... IPAとJPCERT/CC、WordPress用プラグイン「Welcart e-Commerce」の脆弱性を公表 2016年6月24日 16:50  独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は24日、...
WordPress用モバイル対応プラグイン「WP Mobile Detector」にゼロデイ攻撃 &... WordPress用モバイル対応プラグインにゼロデイ攻撃 - 修正版が公開 「WordPress」において、モバイル端末向けに最適なテーマを表示するためのプラグイン「WP Mobile Detector」に脆弱性が存在し、ゼロデイ攻撃が発生していたことがわかった。修正版がリリースされている。 ...
「WordPress 4.4.2」公開、情報流出の脆弱性に対処... 「WordPress 4.4.2」公開、情報流出の脆弱性に対処 WordPress 4.4.2では2件の脆弱性が修正された。それより前のバージョンを使っているWebサイトは直ちに最新版に更新するよう強く勧告している。  オープンソースのコンテンツ管理システム(CMS)WordPressの更新...
WordPressへ「お気に入り機能」を追加するプラグインにXSSの脆弱性... WordPressへ「お気に入り機能」を追加するプラグインにXSSの脆弱性 コンテンツマネジメントシステム(CMS)のWordPress向けに提供されているプラグイン「WP Favorite Posts」に脆弱性が含まれていることがわかった。 同プラグインは、WordPressへ「お気に...
WordPress向けeコマースサイト構築プラグイン「WP Marketplace」に脆弱性 ... WordPress向けeコマースサイト構築プラグインに脆弱性 - ゼロデイ攻撃も WordPressにおいてeコマースサイトを構築できるプラグイン「WP Marketplace」に、複数の脆弱性が含まれていることがわかった。10月18日の時点で修正プログラムは用意されておらず、すでに悪用も確認...
WordPress向けプラグイン「Nofollow Links」に脆弱性... WordPress向けプラグイン「Nofollow Links」に脆弱性 WordPress向けに提供されているプラグイン「Nofollow Links」に脆弱性が含まれていることがわかった。アップデートがリリースされている。 同プラグインは、WordPressにおいて特定のリンクへ「n...
古いバージョンのWordPressとDrupalがパナマ文書漏洩に関与か... 古いバージョンのWordPressとDrupalがパナマ文書漏洩に関与か WordPressに関する記事を専門的に掲載しているWordPress Vaternに4月6日(米国時間)に掲載された記事「Outdated and Vulnerable WordPress and Drupal V...
WordPressのスマホ対応用プラグインにXSSの脆弱性... WordPressのスマホ対応用プラグインにXSSの脆弱性 スマートフォン向けの配信に利用されるWordPress向けプラグイン「WP Mobile Detector」に脆弱性が含まれていることがわかった。アップデートが公開されている。 同3.2以前のバージョンにクロスサイトスク...
XSSやSQLiなど複数の脆弱性を修正した「WordPress 4.2.4」... XSSやSQLiなど複数の脆弱性を修正した「WordPress 4.2.4」 複数の脆弱性を修正したコンテンツマネジメントシステム(CMS)の新版「WordPress 4.2.4」の提供が開始された。前回のアップデート「同4.2.3」から、わずか2週間弱での公開となる。 今回の更新は、S...
レノボ製パソコンにスパイウェア、2省・市が注意喚起... レノボ製パソコンにスパイウェア、2省・市が注意喚起 2016/01/08 14:52 JST配信  東北部地方クアンニン省人民委員会はこのほど、「スパイウェア」をプリインストールされた中国の聯想集団(Lenovo Group=レノボグループ)製のパソコンの使用に注意を促す公文書を各部局や市・...

コメントを残す