WordPressの約40日ぶりのアップデートが来て、前の4.7.2のアップデートではとんでもない脆弱性の修正も含まれていた為、今回も速攻でアップデート。
これを書いた時は日本語版がまだだったけど、昼には日本語版が来ていたので書き直しました。
WordPress 4.7.3 Security and Maintenance Release https://t.co/mm3P4MDjMb
— WordPress (@WordPress) March 6, 2017
そして、4.7.2アップデートの事態があったからか、既に日本語orgのリリースノートも出ています。
📄 WordPress 4.7.3 セキュリティ・メンテナンスリリース(日本語org)
- メディアファイルのメタデータを介したクロスサイトスクリプティング (XSS) 脆弱性。Chris Andrè Dale、Yorick Koster、Simon P. Briggs による報告。
- 制御文字を利用したリダイレクト URL 検証回避の可能性。Daniel Chatfield による報告。
- プラグイン削除を行う機能を利用して管理者による意図しないファイル削除が実行される可能性。xuliang による報告。
- YouTube 動画埋め込み URL を介したクロスサイトスクリプティング (XSS) 脆弱性。Daniel Cid による報告。
- タクソノミー語句名に関連したクロスサイトスクリプティング (XSS) 脆弱性。Delta による報告。
- Press This におけるクロスサイトリクエストフォージェリ (CSRF) によりサーバーリソースの過剰利用が引き起こされる問題。Sipke Mellema による報告。
そして39件のメンテ修正が含まれています。
今回の主なシステム修正は、どれも気になるものだけど、個人的に、自分の両サイトがYouTubeのファイルをよく埋め込む為に(自分もYouTubeに動画をあげるし)こんな脆弱性が存在していた事に少々驚いたり。
しかし、今の時代、どこに脆弱性があったとしてもおかしくは無い時代で、どうであれ、Wordpressのアップデートは絶対に先延ばしにしない方が良い筈です。
ところで。
本家で珍しくセキュリティ記事を書く事になって、そこにも書く事になったけど、3月4日を軸にして自分のサイトは503エラーが750件も出ると言う事態がありました。
その詳細については、本家の記事で読んで下さい。
【TESオンライン】ESOのサーバーが不安定だったのはDDoS攻撃が原因… 実は当サイトも週末に503を吐きまくりました(お詫び)