WordPress 4.9.1 セキュリティおよびメンテナンスリリース

English version: WordPress 4.9.1 Security and Maintenance Release

WordPress 4.9.1 がご利用いただけるようになりました。これは、WordPress 3.7 以降のすべてのバージョンを対象としたセキュリティおよびメンテナンスリリースです。サイトをすぐにアップデートすることを強くお勧めします。

WordPressバージョン4.9およびそれ以前のバージョンは、マルチベクトル攻撃に悪用される可能性のある4つのセキュリティ問題の影響を受けています。コアチームの継続的なセキュリティ強化への取り組みの一環として、4.9.1では以下の修正が実装されました。

• 確定的な部分文字列の代わりに、 newbloguserキーに適切に生成されたハッシュを使用します。
• html要素で使用される言語属性にエスケープを追加します。
• RSS フィードおよび Atom フィードでエンクロージャの属性が正しくエスケープされていることを確認します。
• unfiltered_html機能を持たないユーザーに対して JavaScript ファイルをアップロードする機能を削除します。

責任あるセキュリティ開示を実践してくれたこれらの問題の報告者であるRahul Pratap Singh 氏と John Blackbourn 氏に感謝します。

WordPress 4.9.1では、その他11件のバグが修正されました。特に注目すべきものは以下のとおりです。

• テーマ テンプレート ファイルのキャッシュに関連する問題。
• MediaElement JavaScript エラーにより、特定の言語のユーザーがメディア ファイルをアップロードできなくなります。
• Windows ベースのサーバー上でテーマおよびプラグイン ファイルを編集できない。