脆弱性対応を行ったWordPress 4.8.3をリリース

4.8.3をリリース

WordPress 4.8.2以前のバージョンは、$wpdb->prepare()が想定外の安全ではないクエリーを出力する問題があり、悪用することでSQLインジェクションを誘発する可能性があるとして、セキュリティアップデート WordPress 4.8.3をリリースしました。

WordPress 4.8.3 セキュリティリリース

WordPress 4.8.3 が公開されました。これはセキュリティリリースです。過去のバージョンを使用しているすべてのサイトに対する即時のアップデートが強く推奨されます。

WordPress 4.8.2 以前のバージョンにおいて、$wpdb->prepare() が本来想定しない安全でないクエリーを出力する問題が確認され、この問題が SQL インジェクション (SQLi) に利用される可能性があります。WordPress 本体に関してはこの問題に対する直接的な脆弱性は認められていませんが、プラグインやテーマに不備が生じて脆弱性をもたらす危険性があり得るため、対応を強化しました。この問題は Anthony Ferrara により報告されました。

今回のリリースには esc_sql() 関数の挙動の変更が含まれます。大半の開発者はこの変更の影響を受けないものと思いますが、より詳細は開発者ノートを確認してください。

適切な情報開示に則ってこの問題の報告を行ってくださった皆さんに感謝します。

WordPress 4.8.3 (日本語版)をダウンロード、または [ダッシュボード] → [更新] メニューから「今すぐ更新」をクリック。自動バックグラウンド更新が有効なサイトではすでに WordPress 4.8.3 へのアップデートが始まっているでしょう。

出展:WorPress ORG日本語 ニュース
https://ja.wordpress.org/news/

SQLインジェクション

SQLインジェクション(英: SQL Injection)とは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。 また、その攻撃を可能とする脆弱性のことである。

出典:Wikipedia SQLインジェクション
https://ja.wikipedia.org/wiki/SQLインジェクション

当サイトでも複数のWordpressが稼働していて、自動アップデートしているものと自動アップデートしていないものがあるため、自動アップデートしているサイトはアップデートした通知が届いたため、確認してすべてを最新状態にアップデートしました。

脆弱性を突かれる攻撃というのは、急に来るものだと思いますので、早急にアップデートした方がいいしょう。

スポンサーリンク
spdsk-side
spdsk-side