WordPress 4.9.1 セキュリティとメンテナンスのリリース

English version: WordPress 4.9.1 Security and Maintenance Release

WordPress 4.9.1 が利用可能になりました。これは、WordPress 3.7 以降のすべてのバージョンに対するセキュリティおよびメンテナンスのリリースです。サイトをすぐに更新することを強くお勧めします。

WordPress バージョン 4.9 以前は、マルチベクトル攻撃の一部として悪用される可能性がある 4 つのセキュリティ問題の影響を受けます。コア チームのセキュリティ強化への継続的な取り組みの一環として、次の修正が 4.9.1 に実装されました。

• newbloguserキーには、確定した部分文字列ではなく、適切に生成されたハッシュを使用します。
• html要素で使用される言語属性にエスケープを追加します。
• RSS および Atom フィードでエンクロージャの属性が正しくエスケープされていることを確認します。
• unfiltered_html機能を持たないユーザーが JavaScript ファイルをアップロードできる機能を削除します。

責任あるセキュリティ開示を実践してくださったこれらの問題の記者、 ラーフル・プラタップ・シン氏とジョン・ブラックボーン氏に感謝します。

WordPress 4.9.1 では、その他 11 個のバグが修正されました。特に注目すべき点は次のとおりです。

• テーマテンプレートファイルのキャッシュに関する問題。
• MediaElement JavaScript エラーにより、特定の言語のユーザーはメディア ファイルをアップロードできなくなります。
• Windows ベースのサーバーではテーマ ファイルとプラグイン ファイルを編集できない。