今日、Wordpressの4.5.2のアップデートが来まして、両サイトのアップデートを済ませる事になったけど、今回のWPのリリースノートは、興味深い内容と言うか、幾つかの注意喚起を促すものも含まれていました。
目次
重要なWordpress 4.5.2へのアップデート
WordPress.org WordPress 4.5.2 Security Release
WordPress バージョン 4.5.1 およびそれ以前のバージョンは、WordPress がファイルアップロードのために使っているサードパーティライブラリである Plupload を通して SOME (Same Origin Method Execution) 脆弱性にさらされています。WordPress バージョン 4.2 から 4.5.1 は、MediaElement.js を利用して特別に作った URI を使う、反射型 XSS 攻撃に対する脆弱性があります。MediaElement.js は、メディアプレイヤー用のサードパーティライブラリです。MediaElement.js および Plupload は、いずれもこの問題を修正する更新をリリースしています
これらの問題は両方とも、Cure53 の Mario Heiderich、Masato Kinugawa、Filedescriptor によって分析・報告されました。責任ある情報公開プロセスに従ってくれた彼らと、問題を修正するために私達と密接に協力してくれた Plupload、MediaElement.js チームに感謝します。
(5/9 修正:上記の引用文を含むWordpress.orgの訳文は、この脆弱性発見の貢献者であるKinugawa氏の指摘で修正されたので、こちらの引用文も修正しました。原文参照)
こういう理由から、今回のWPのアップデートは強く推奨されてるので、ちゃんとアップデートをしておいた方が良いです。
WordPressのリリースノートもImageMagickの脆弱性に注意を促す
しかし、そのWPのリリースノートの最後では、最近話題になってる”ImageMagick”の脆弱性についても触れている。
さらに、広範に公開された ImageMagick 画像処理ライブラリの脆弱性も複数存在しています。このライブラリは、WordPress に対応した多くのホスティングサービスにおいて使われています。これらの問題に対する私達の現在の反応については、コア開発ブログのこの投稿をご覧ください。
この”ImageMagick”の関係のプラグインは、自分の両サイトに入っていて・・・
(5/9 追記:検索で来てくれた人のワードで大事な事を書き忘れている事に気付きました。”ImageMagick Engine”と言うプラグインです。)
って言うか、自分の意志でこれを導入したわけではなく、さくらのサーバーでWordpressをインストールした人には、これが最初から入っていた筈。
参照記事: さくらのレンタルサーバ版WordPressの特長(さくら公式ページ)
これ、どうすればいいんだろう? プラグインを切っちゃっても問題ないのかな?と、自分は初心者みたいな事を思ってますがw
さくらの方から何か注意が出てるかな?と思ったりしたけど、まだ今の段階では何のリリースも出てないようで・・・
ImageMagickの脆弱性のリスク
それで、話しの前後がバラバラですが、ImageMagickの脆弱性について、どういうリスクがあるのか?について、このサイト記事が分かりやすいように思います。
ImageMagick に画像ファイルを処理させることで、攻撃者は ImageMagick が動作しているシステム上で任意のコマンドを実行することが可能です。本脆弱性の影響を受ける典型的な構成例としては、ファイルのアップロードを許可しているウェブサーバで、アップロードされたファイルを ImageMagick で処理しているケースが考えられます。
本脆弱性を使用した攻撃コードが公開されています。ウェブサイト ImageTragick (imagetragick.com) によれば、既に本脆弱性を使用した攻撃活動が観測されているとのことです。
想定される影響
画像ファイルをアップロードできる遠隔の第三者によって、ImageMagick を実行するユーザの権限で任意のコードを実行される可能性があります。
この引用させて頂いた記載の後に、対策方法として、ImageMagicをアップデートしろとか書いてあるけど・・・これ、自分達の所でどうこうする問題? そうれとも、プラグインの開発者やサーバーの方でどうにかする問題? 自分はIT関係の人では無いので、全然理解できないんですけど・・・
そして、この脆弱性の問題について纏めてくれているサイトの紹介しておきます。
ImageMagickの脆弱性(CVE-2016-3714他)についてまとめてみた(Piyolog)
読むべき人が読めばわかる内容なんだろうけど、自分のサイトと知識程度で、どの程度の対策を打つべきなのかが、全然わからず、頭が混乱してます・・・
WordPressのImageMagickの脆弱性への取り組み
それで、英語のWordpress.orgの”ImageMagick Vulnerability Information”の最初には、個人のホスティングでWordpressを導入してる場合、直ちに修正について目を向けなさい・・・とあるようで。
また、「この問題の最大の影響と言う事については明らかになってはおらず、この件の結果についてはまだ展開中」と言う事のようです。
この記載の下にWordPressへの影響について書いてあるので、ちょっと訳します。
WordPressにはどういう影響がありますか?
Wordpressの管理者によりアップロードされた悪意のあるデータが含まれる画像は、その基礎となるImageMagick libraryを通して幾つかのエクスプロイト(訳者注:脆弱性攻撃や脆弱性利用)を実行する事ができる。権限を持つ全てのユーザーがアップロードが可能ですが、デフォルトでは、管理者、編集者、及び投稿者が可能。寄稿者、読者、匿名ユーザーにこの権限がありません。この問題はまだ展開を見ていて、もし修復しないなら、リモートでのコードの改変(RCE)を許すこのエクスプロイトには注意するべきです。WordPressのコアチームは、この問題の軽減の為にどのような手順を行ってますか?
このエクスプロイトの脅威は、Wordpress自身の中や同梱のライブラリにあるのではなく、Imagick PHP extensionの中にあるものです。Wordpressのセキュリティチームは、Wordpressのエコシステムの中で幅広く使用されているImageMagickへのこのエクスプロイトの影響を軽減する為の方法を模索しています。しかしながら、このエクスプロイトは、ホスティング・レベルにおいて、うまく処理できます(以下参照)(訳: 管理人 Makoto)
(最後の「以下参照」については、原文の方でお願いします)
こういう事なら暫く見守るしかないのかな・・・
自分の所では、ImageMagickは無くて困るものではないんで、これ・・・途中で抜くとどういう影響あるんだろう?
このサイトは、画像は殆ど無いんで、ダメージは全然無いと思うけど、もう一つは画像を多用してるので、ちょっと怖いような気も・・・
実際、ImageMagickの圧縮を走らせたら、ページによっては画像が表示されなくなった過去もあったので、もう少し様子を見てみようと思います。
5/9 追加リンク
「ImageMagick」がさらなる更新をリリース (Security NEXT)
また分かった事があったら追記しておきます。