『WordPress 3.0.2』がリリース、多くの脆弱性に対処

オープンソースの Blog ソフトウェア『WordPress』のユーザーに重要なお知らせだ。今すぐ端末のところに走って行って、Wordpress を使ってセルフホストしている Blog をただちに更新してもらいたい。

WordPress.org が11月30日、最新版『WordPress 3.0.2』の配布を開始した。新版はいくつものセキュリティ脆弱性に対策を施しているが、衝撃的なのは、それらのいずれにも (現時点においては) 共通脆弱性識別子 (CVE) 番号が付されていないことだ。

今回対処したセキュリティ ホールの1つは、クロスサイト スクリプティング (XSS) の脆弱性だ。これは、プラグインを削除する際にユーザーを脅威にさらすおそれがあるものだ。

また、「悪意を持つソフトウェア作者レベルのユーザーにサイトへのさらなるアクセスを許しかねない、(深刻度が) 中程度のセキュリティ脆弱性」と WordPress が表現する脆弱性にも対応している。そう、WordPress 3.0.2 に更新しないかぎり、自分のサイトの管理者権限を別のユーザーに奪取されるおそれがあるということだ。

こうしたセキュリティ脆弱性への対応以外では、「readme」ファイルの中にある WordPress のリリースに関するライセンスを明確にする記述がほんの少しだけ変更されている。

「われわれは、WordPress 全体が『GNU 一般公的使用許諾契約』(GPL) の第2版『GPLv2』(すなわち「GPLv2 のみ」) に基づいているとは言えない。GPL にのみ基づくという立場に戻る」(WordPress の変更履歴 15534より)。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール