WordPress 4.7.1 で噂の8つのアップグレードについて意訳してみた。
仕事でたまたまWordPress を使うことになったので、ヘッダー動画も使用可能になったと評判の最新盤(4.7, 4.7.1)を紹介していきます。
今回はその第一弾として、昨年12月に公開された4.7 からのアップデートの内容について考察していこうと思います。
なお著者はdeveloper歴1年にも満たない若輩者ですので、RESTや英語のギークな記事について和訳や解釈が的を外している部分もあります。ご容赦ください。。。 *原本を見たい方はこちらからどうぞ。
- phpMailer の脆弱性改善を受けてアップグレード PHPMailer の脆弱性に関するアップグレード(2016/12/28) に対応して、WordPress もアップグレードを施した。
- REST API が記事を公開したユーザー全員に対してユーザー情報を露出していた問題を改善した。
- プラグインの名前、若しくはバージョンを通じてXSS 攻撃を受ける問題が改善された。
- フラッシュファイルのアップロード中に CSRF の脆弱性が発生している問題が改善された。
- テーマ名のfallback(代替?) を通じてXSS 攻撃を受ける問題が改善された。
- email を介したpost がデフォルトの設定でmail.example.com を確認していた問題が改善された。
- ウィジェット操作中に CSRF の問題が検出された問題が改善された。
- 暗号鍵 (cryptographic) の脆弱性が改善された。
PHPMailer の脆弱性がWordPress へ影響する類の明確な事例は報告されていないが、世間の声を反映してWordPress もアップグレードした。
PHPMailer 更新の原本はこちら!
https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html
所感・考察
「事例が報告されていない」と断言していますが、実際はどうなんだろうかとツッコミたくなる文面(笑)
所感・考察
REST API自体4.7からの導入なので、細かなバグがまだまだ存在するのかもしれません。 ぶっちゃけ直訳しても良くわかりませんでした。
所感・考察
これも直訳しててよくわかりませんでした。「テーマ名を設定していないと攻撃される危険性を伴う」ってニュアンスなんでしょうか??
所感・考察
サイト自体存在しないので、まー大きな問題はなかったんでしょうが。。。
公式ドキュメントによると、上に挙げた以外のバグも含めて60個ほどの修正を施したとのことです。 興味ある方は見てみてください。
著者の知人に4.7 で攻撃を受けて困っている方がいらっしゃいました。
上に挙げた様なXSS 攻撃を受けたりCSRF の脆弱性を突かれたんでしょうか、、、
4.7.1 にアップグレードしていない方はこれを機に検討してみることをおススメします!