Nire.Com

WordPress 2.8.1 にも XSS 脆弱性 – 定期的に見つかる脆弱性が意味するもの

« 前記事: WordBench 埼玉勉強会 7月号の参加メモ

WordPress 2.8.1 にも脆弱性があることが判明し、WordPress 2.8.2 が急きょリリースされました。最近多い XSS 脆弱性、さっさとアップグレードして対策した方が良さそうです。

WordPress では、ここ 2回ほど XSS1 脆弱性が立て続けに見つかっています。ただ今に限った話ではなく、過去のバージョンでもセキュリティホールの指摘がきっかけで新しいマイナーバージョンがリリースされたことは何回かあります。

• 2.6.2 … Snoopy ライブラリの _httpsrequest() における脆弱性
• 2.6.3 … IP アドレスベースの仮想サーバを構築している場合の XSS 脆弱性
• 2.8 以前 … 管理画面, admin.php の悪用
• 2.8.1 … コメント投稿者 URL の sanitize 不足による XSS 脆弱性

脆弱性が見つかっているエリアはバージョンごとに色々違っていますね。

背景には WordPress の利用人口が増えて、それだけ注目されるようになり、セキュリティの穴を見つけてそれをビジネスにしようとする人も増える…といった有名税的な側面もあれば、ソフトウェアが大規模になってきて、管理しづらくなってきている、という潜在的な問題点もあります。

ともかく、とっととアップグレードするのが吉でしょう。

前回のリリースでは、英語版から日本語版リリースまでのタイムラグが約4日と大きく、一体どうしてしまったんだと思いましたが、今回はリリースがサクサクと進んだらしく1日弱とかなり短縮されています。

が、今回も、自動アップグレードを信用する気にはならず、いつもの手動アップグレードで行いました。

何の問題もなく動いています。気のせいか、2.8.2 になってから、やや各パーマリンクをリクエストしたときのレスポンスが速くなった気がします。

1. クロスサイトスクリプティング

続き: CentOS 5 の BIND9 がらみ yum に失敗 (python 2.4 の Missing Dependency) »

関連する投稿

• WordPress 2.8 以前には思ったより危険なセキュリティホールが (0)
• こんな簡単に他人がパスワードリセットできたのか – WordPress 2.8.4 リリース (1)
• WordPress ユーザの自衛策は? – WordPress 2.8 の自動アップグレードトラブル Part2 (0)
• WordPress 2.8.1 へのアップグレードは手動 / 自動どちらが良いのか (0)
• 使わなくなった Twitter 系 WordPress プラグインまとめ / Twitter Tools をインストールすると 1秒遅くなる (2)