Security Blog

WordPress4.9.1セキュリティとメンテナンスリリース


English version: WordPress 4.9.1 Security and Maintenance Release


WordPress4.9.1が利用可能になりました。これは、WordPress3.7以降のすべてのバージョンのセキュリティとメンテナンスのリリースです。すぐにサイトを更新することを強くお勧めします。

WordPressバージョン4.9以前は、マルチベクター攻撃の一部として悪用される可能性のある4つのセキュリティ問題の影響を受けます。セキュリティ強化に対するコアチームの継続的な取り組みの一環として、4.9.1では次の修正が実装されています。

  • 確定サブストリングの代わりにnewbloguserキーに適切に生成されたハッシュを使用します。
  • html要素で使用される言語属性にエスケープを追加します。
  • エンクロージャーの属性がRSSおよびAtomフィードで正しくエスケープされていることを確認してください。
  • unfiltered_html機能を持たないユーザーのJavaScriptファイルをアップロードする機能を削除します。

責任あるセキュリティ開示を実践してくれたこれらの問題の記者に感謝します: Rahul PratapSinghとJohnBlackbourn。

WordPress4.9.1では他に11個のバグが修正されました。特に注目すべき点は次のとおりです。

  • テーマテンプレートファイルのキャッシュに関連する問題。
  • MediaElement JavaScriptエラーにより、特定の言語のユーザーがメディアファイルをアップロードできなくなりました。
  • Windowsベースのサーバーでテーマファイルとプラグインファイルを編集できない。

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.