[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

「WordPress 4.7.3」公開 – セキュリティ以外でも39件を修正



「WordPress 4.7.3」公開、XSSなど6件の脆弱性を修正
2017年3月7日 11:59

 WordPressは6日、ブログツール「WordPress」のセキュリティアップデートとなるバージョン「4.7.3」を公開した。クロスサイトスクリプティング(XSS)の脆弱性3件や、クロスサイトリクエストフォージェリ(CSRF)の脆弱性1件など、計6件が修正されており、利用者には早急なアップデートを推奨している。

 脆弱性が悪用されることで、コメント欄にスクリプトが挿入され、サーバー上で任意のコードが実行される危険がある。

 XSS脆弱性は、メディアファイルのメタデータにおけるもの、YouTube動画の埋め込みURLにおけるもの、タクソノミー語句名に関連するものの3件。CSRF脆弱性はPress Thisにおけるもので、サーバーリソースが過剰に利用される状態が引き起こされる。

 このほかの脆弱性は、制御文字を利用したリダイレクトURL検証回避と、プラグイン削除機能において意図しないファイルが削除される可能性のあるもの。

 なお、上記のセキュリティ修正に加え、39件のメンテナンスも行われている。

複数脆弱性を解消した「WordPress 4.7.3」 – セキュリティ以外でも39件を修正
WordPressの開発チームは、複数の脆弱性へ対処したセキュリティアップデートとなる「WordPress 4.7.3」をリリースした。旧バージョンの利用者に対し、最新版へ早急にアップデートするよう強く推奨している。

今回のアップデートは、3件の「クロスサイトスクリプティング(XSS)」の脆弱性や制御文字によりURL検証が回避される問題など、6件のセキュリティに関する問題を解決したもの。

「クロスサイトリクエストフォージェリ(CSRF)」により、サーバのリソースが消費される不具合や、本来削除できないファイルが、プラグインの削除機能を用いることで管理者により削除可能となる問題へ対応した。さらにセキュリティ上の問題ではないが、39件の修正をあわせて実施したという。

WordPressに関しては、1月26日に公開された前回のアップデート「WordPress 4.7.2」 が大きな注目を集めた。

同アップデートでは、外部より改ざんが可能となる重大な脆弱性へ対応していたが、リリース当初は同脆弱性の修正について言及せず、開発チームでは、1週間後に脆弱性情報を開示。一方でアップデートを未実施だった利用者も多く、多数のサイトで改ざん被害が発生した。





FavoriteLoadingお気に入りAdd to favorites
WordPress向けeコマースサイト構築プラグイン「WP Marketplace」に脆弱性 ... WordPress向けeコマースサイト構築プラグインに脆弱性 - ゼロデイ攻撃も WordPressにおいてeコマースサイトを構築できるプラグイン「WP Marketplace」に、複数の脆弱性が含まれていることがわかった。10月18日の時点で修正プログラムは用意されておらず、すでに悪用も確認...
公開済「WordPress 4.7.2」では深刻な脆弱性を修正 – 1週間遅れで情報開示... 公開済「WordPress 4.7.2」では深刻な脆弱性を修正 - 1週間遅れで情報開示 コンテンツマネジメントシステム(CMS)である「WordPress」の開発チームは、1月26日にセキュリティリリースとして公開した「WordPress 4.7.2」において、当初明らかにしていた脆弱性にく...
WordPressに複数の脆弱性 – 最新版4.7.1がリリース... WordPressに複数の脆弱性 - 最新版がリリース WordPressの開発者は1月11日(米国時間)、「WordPress 4.7.1 Security and Maintenance Release|WordPress.org」において、脆弱性を修正した最新のセキュリティリリース「...
パナマ文書の流出原因は、WordPressのプラグイン? セキュリティが穴だらけだったことが判明... パナマ文書の流出原因は、Wordpressのプラグイン? セキュリティが穴だらけだったことが判明 2016.04.11 13:00 思わぬところに穴が…。 世界中の政治家や経済人、著名スポーツ選手など、いわゆる「世界トップの大金持ち」たちがタックスヘイブンで資産を隠しているのではないか...
「WordPress 4.4.2」公開、情報流出の脆弱性に対処... 「WordPress 4.4.2」公開、情報流出の脆弱性に対処 WordPress 4.4.2では2件の脆弱性が修正された。それより前のバージョンを使っているWebサイトは直ちに最新版に更新するよう強く勧告している。  オープンソースのコンテンツ管理システム(CMS)WordPressの更新...
深刻な脆弱性に対応した「WordPress 4.2.2」が公開 – 即時更新を推奨... 深刻な脆弱性に対応した「WordPress 4.2.2」が公開 – 即時更新を推奨 深刻な脆弱性を解消したセキュリティアップデート「WordPress 4.2.2」が公開された。WordPressの開発チームは、早期適用を呼びかけている。 今回のアップデートは、コンテンツマネジメントシス...
WordPressの人気プラグイン「Akismet」にクロスサイトスクリプティング脆弱性... WordPressの人気プラグインにクロスサイトスクリプティング脆弱性 10月15日(米国時間)、Threatpostに掲載された記事「WordPress Fixes Stored XSS Vulnerability in Akismet|Threatpost|The first s...
Google Analytics連携用のWordPress向けプラグイン「Google Analyt... 「Google Analytics」連携用のWordPress向けプラグインに脆弱性 「Google Analytics」との連携を実現する「WordPress」向けプラグイン「Google Analyticator」に脆弱性が含まれていたことがわかった。アップデートが公開されている。...
乗っ取りの危険性、WordPress 4.3.1のアップデート呼びかけ... United States Computer Emergency Readiness Team (US-CERT)は9月15日(米国時間)、「WordPress Releases Security Update」において、WordPressに2つのクロスサイト・スクリプティングの脆弱性が存在すると伝...
複数のWordPressプラグインに脆弱性「Vulnerabilities Identified i... 複数のWordPressプラグインに脆弱性  l ead=8月12日(米国時間)、Threatpostに掲載された記事「Vulnerabilities Identified in Several WordPress Plugins|Threatpost|The first stop for ...

コメントを残す