WordPress 2.8.1 にも脆弱性があることが判明し、WordPress 2.8.2 が急きょリリースされました。最近多い XSS 脆弱性、さっさとアップグレードして対策した方が良さそうです。

WordPress: Dark: トリミングしていじってみた

WordPress では、ここ 2回ほど XSS ((クロスサイトスクリプティング)) 脆弱性が立て続けに見つかっています。ただ今に限った話ではなく、過去のバージョンでもセキュリティホールの指摘がきっかけで新しいマイナーバージョンがリリースされたことは何回かあります。

  • 2.6.2 … Snoopy ライブラリの _httpsrequest() における脆弱性
  • 2.6.3 … IP アドレスベースの仮想サーバを構築している場合の XSS 脆弱性
  • 2.8 以前 … 管理画面, admin.php の悪用
  • 2.8.1 … コメント投稿者 URL の sanitize 不足による XSS 脆弱性

脆弱性が見つかっているエリアはバージョンごとに色々違っていますね。

背景には WordPress の利用人口が増えて、それだけ注目されるようになり、セキュリティの穴を見つけてそれをビジネスにしようとする人も増える…といった有名税的な側面もあれば、ソフトウェアが大規模になってきて、管理しづらくなってきている、という潜在的な問題点もあります。

ともかく、とっととアップグレードするのが吉でしょう。

前回のリリースでは、英語版から日本語版リリースまでのタイムラグが約4日と大きく、一体どうしてしまったんだと思いましたが、今回はリリースがサクサクと進んだらしく1日弱とかなり短縮されています。

が、今回も、自動アップグレードを信用する気にはならず、いつもの手動アップグレードで行いました。

何の問題もなく動いています。気のせいか、2.8.2 になってから、やや各パーマリンクをリクエストしたときのレスポンスが速くなった気がします。