WordPress 4.7.2セキュリティリリース

Advertisement
WordPress.org

クラッカーの攻撃を受けるほどメジャーなサイトじゃないんだけど、こんなに簡単だといたずらはされちゃうんですね;

 

WordPress 4.7.2がリリースされました。

4.7.1に重大な欠陥があり、権限無しで誰でも記事の書き換えが可能になってしまいます。

WordPressコミュニティでは速やかなアップデートを推奨しているため、WordPressを使用している方は対応を急いでください。

ソースコード上の問題

現行(4.7.1)と最新版を比較した所、改修箇所はごく小さな部分です。

投稿受領時の判定にイージーなミスがあり、存在しない投稿に対して書き込みの権限を許してしまうという動作をします。

このため手動でPOSTメッセージを流す事が可能なレベルにある人であれば不正な投稿を投入できてしまう事になり、しかも防ぎようがありませんw

日本語版の最新アップデートをダッシュボードから入手できない場合は公式のアップデート手順に従って更新を行うことをオススメします。

当サイトの対応

手動アップデートを実行するつもりで用意はしたのですが、なんと使用しているサーバーがコアファイルをすべてパーミッション保護しているので更新ができませんでした・w・;

なんてやってるうちに早速まさかのクラック被害を受けたので前日夜間の自動バックアップに復元し、サーバー管理に対して更新許可または不正POSTのREJECTについて情報提供を行っています。

サーバー側でも問題を把握しているため不正処理に対応する上位レイヤーでの対策は取っているようですが、網を抜ける可能性があるため一時的にコメント等の返信は保留いたします。(ロールバックの可能性があるため)

問題が解消した時点で整合性の検証を行い、運用可能と判断した時点で改めて返信などは改めて追加したします。

緊急性の高い内容です。

本来こういった話題はこのサイトでは扱うテーマではないのですが、WordPressでブログ運営されているDTMerの方も多いと思いますので記しておきます。

現状更新ができていない方はクラックを受けていないようであれば一度速やかにバックアップを取っておきましょう。

皆様もお気をつけて!!

Advertisement
みるくここあ
About みるくここあ 302 Articles
ウィンドシンセを片手に曲を作っています、演奏するのも聴くのも好き。 ゲームとITと変な情報を拾ってくるのが得意。 色々とやっているらしいけど詳細はヒミツ。 オリジナル曲を公開しています。 http://www.nicovideo.jp/mylist/31704203 作曲風景の生放送もしています。 https://rainbowsound.cafe/rainbow-sound-cafe-live/ 音楽やDTMに纏わる話題を色々と書きます。

1件のコメントがあります

  1. ロールバックの影響でコメントが一つ削除されてしまいました。
    折角コメントを頂いたのに申し訳ありません。

    サーバーサイドの処置により更新が行われたためとりあえず問題は収束いたしましたが、今後も気を付けていきたいと思います。

コメントをどうぞ

Your email address will not be published.




このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください