WordPress 4.9.1 セキュリティおよびメンテナンス リリース

English version: WordPress 4.9.1 Security and Maintenance Release

WordPress 4.9.1 が利用可能になりました。これは、WordPress 3.7 以降のすべてのバージョンに対するセキュリティおよびメンテナンス リリースです。サイトをすぐに更新することを強くお勧めします。

WordPress バージョン 4.9 およびそれ以前のバージョンは、マルチベクトル攻撃の一部として悪用される可能性のある 4 つのセキュリティ問題の影響を受けます。コア チームの継続的なセキュリティ強化への取り組みの一環として、4.9.1 では次の修正が実装されています。

• 確定的な部分文字列の代わりに、 newbloguserキーに適切に生成されたハッシュを使用します。
• html要素で使用される言語属性にエスケープを追加します。
• RSS フィードと Atom フィードでエンクロージャの属性が正しくエスケープされていることを確認します。
• unfiltered_html機能を持たないユーザーに対して JavaScript ファイルをアップロードする機能を削除します。

責任あるセキュリティ開示を実践してくれたこれらの問題の報告者であるRahul Pratap Singh 氏と John Blackbourn 氏に感謝します。

WordPress 4.9.1 では、他の 11 個のバグが修正されました。特に注目すべきものは次のとおりです。

• テーマ テンプレート ファイルのキャッシュに関連する問題。
• 特定の言語のユーザーがメディア ファイルをアップロードできない原因となる MediaElement JavaScript エラー。
• Windows ベースのサーバー上でテーマおよびプラグイン ファイルを編集できない。