日別アーカイブ: 2016年2月4日

WordPress4.4.2がリリース

2つの大きな問題を修正したセキュリティリリースです。

WordPress 4.4.2 セキュリティとメンテナンスのリリース

[wordpress.org日本語版]

今回修正された脆弱性はあるローカルURIに関するサーバサイドリクエストフォージェリの脆弱性と、オープンリダイレクト脆弱性に関するものとのことです。

サーバサイドリクエストフォージェリというのはあまり聞いたことがなかったのですが、攻撃対象のサーバに対してアクセス権を有するサーバを経由してコマンドを発行するという攻撃手法だそうです。

オープンリダイレクト脆弱性は、他のURLに遷移するページのリダイレクト先のURLを外部から書き換えられてしまうという脆弱性だそうです。攻撃者はリダイレクト先で偽物の入力フォームなどを表示し、IDやパスワードなどを盗むという手口に使えるそうです。

この2点がローカルのURIとどう関係あるのかは今ひとつよく分からなかったのですが、攻撃手法については勉強になりました。