zuzukiiのブログ

バンコク在住の駆け出しエンジニアです。バンコクやらITについて書いていきます。

WordPress 4.7.1 で噂の8つのアップグレードについて意訳してみた。

wordpress

仕事でたまたまWordPress を使うことになったので、ヘッダー動画も使用可能になったと評判の最新盤(4.7, 4.7.1)を紹介していきます。
今回はその第一弾として、昨年12月に公開された4.7 からのアップデートの内容について考察していこうと思います。

なお著者はdeveloper歴1年にも満たない若輩者ですので、RESTや英語のギークな記事について和訳や解釈が的を外している部分もあります。ご容赦ください。。。 *原本を見たい方はこちらからどうぞ。

wordpress.org

  1. phpMailer の脆弱性改善を受けてアップグレード
    2.  PHPMailer の脆弱性に関するアップグレード(2016/12/28) に対応して、WordPress もアップグレードを施した。
     PHPMailer の脆弱性WordPress へ影響する類の明確な事例は報告されていないが、世間の声を反映してWordPress もアップグレードした。
     PHPMailer 更新の原本はこちら!
    https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html

    所感・考察
    「事例が報告されていない」と断言していますが、実際はどうなんだろうかとツッコミたくなる文面(笑)

  2. REST API が記事を公開したユーザー全員に対してユーザー情報を露出していた問題を改善した。

    3. 所感・考察
    REST API自体4.7からの導入なので、細かなバグがまだまだ存在するのかもしれません。 ぶっちゃけ直訳しても良くわかりませんでした。

  3. プラグインの名前、若しくはバージョンを通じてXSS 攻撃を受ける問題が改善された。
  4. フラッシュファイルのアップロード中に CSRF脆弱性が発生している問題が改善された。
  5. テーマ名のfallback(代替?) を通じてXSS 攻撃を受ける問題が改善された。

    6. 所感・考察
    これも直訳しててよくわかりませんでした。「テーマ名を設定していないと攻撃される危険性を伴う」ってニュアンスなんでしょうか??

  6. email を介したpost がデフォルトの設定でmail.example.com を確認していた問題が改善された。

    7. 所感・考察
    サイト自体存在しないので、まー大きな問題はなかったんでしょうが。。。

  7. ウィジェット操作中に CSRF の問題が検出された問題が改善された。
  8. 暗号鍵 (cryptographic) の脆弱性が改善された。

公式ドキュメントによると、上に挙げた以外のバグも含めて60個ほどの修正を施したとのことです。 興味ある方は見てみてください。

著者の知人に4.7 で攻撃を受けて困っている方がいらっしゃいました。 上に挙げた様なXSS 攻撃を受けたりCSRF脆弱性を突かれたんでしょうか、、、
4.7.1 にアップグレードしていない方はこれを機に検討してみることをおススメします!