2015.04.29 12:30|カテゴリ:Security

WordPress利用者は確認を!日本語版WordPress 4.2.1 がリリース


 先日、本ブログでもお伝えしたWordPress 4.2、4.1.2、4.1.1、3.9.3 に存在する XSS脆弱性に対するセキュリティリリース Ver4.2.1 の日本語版が出ました。


数時間前、WordPressチームはコメントの投稿者がサイトを危険にさらすことが可能なクロスサイトスクリプティングの脆弱性に気が付きました。この脆弱性はJouko Pynnonenによって発見されました。
WordPress › 日本語 « WordPress 4.2.1 セキュリティリリース



 ダウンロードは上記サイトから行えます。また、自動アップデートを有効にしている場合は、バックグラウンドで更新されます。


 このようにセキュリティアップデートが提供されることはよいのですが、上記WordPressのリリース時の説明には違和感があります。

 WordPress側は上記のように数時間前に脆弱性に気づいたとしています。しかし、これは先日お伝えした同脆弱性発見者の説明と大きく食い違います。

WordPress 4.2等にゼロデイ脆弱性 コメントを有効にしていると攻撃される可能性あり|I believe in technology
発見したのは、フィンランドのセキュリティ企業「Klikki Oy」の専門家Jouko Pynnönen氏。詳細が「Klikki Oy」のサイトで公開されています。


 このエントリの中で引用している脆弱性発見者であるフィンランドのセキュリティ企業「Klikki Oy」の専門家Jouko Pynnönen氏は以下のように表明しています。


WordPress has refused all communication attempts about our ongoing security vulnerability cases since November 2014. We have tried to reach them by email, via the national authority (CERT-FI), and via HackerOne. No answer of any kind has been received since November 20, 2014. According to our knowledge, their security response team have also refused to respond to the Finnish communications regulatory authority who has tried to coordinate resolving the issues we have reported, and to staff of HackerOne, which has tried to clarify the status our open bug tickets.
Klikki Oy - WordPress 4.2 Stored XSS



 これによると、WordPressには2014年11月以降、フィンランドのCERT-FI(現NCSC-FI)やバグ探し懸賞プログラム提供会社であるHackerOneを介して継続的に報告を試みたものの拒否されたとあります。

 この話が事実なら、wordPressサイドは脆弱性の情報提供を無視し、ユーザのリスクを放置し続けたことにまります。

 通常、その国のCERTを介した情報提供なら受け入れてもよさそうなものです。

 結果的に迷惑を被るのはユーザです。なんらかの行き違いで伝わっていなかったのだとすると、今後、そのようなことが起こらないように改善する必要があります。

 WordPressサイドには今回の脆弱性確認の経緯や「Klikki Oy」が情報提供を無視されたとする説明に対する見解を示してもらいたいものです。

 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。