早速セキュリティとメンテナンスのリリースです。

WordPress 4.9.1 Security and Maintenance Release

[WordPress.org]

今回の修正は珍しく「即時のアップデートを強く勧める」という前置きが書いてあり、ちょっと深刻そうな雰囲気を感じます。

WordPress3.7～4.9まではマルチベクトル攻撃に対する脆弱性が存在し、今回の4.9.1でその脆弱性を修正しているそうです。

マルチベクトル攻撃という単語が良くわからなかったので調べてみたところ、”アプリケーション層などの複数の層に対しても攻撃を行うDDoS攻撃”のことのようです。

よく知られているsynフラッド攻撃はTCPの仕様を利用した攻撃なのでトランスポート層に対する攻撃になりますが、それとは別に今回のWordPressで発見されたようなアプリケーション層の脆弱性を突くような攻撃を複合的に行い、簡単な対策では対抗できないような攻撃を行うケースが増えているんだそうです。

今回はアップデート勧告文付きなので、いつも以上の速やかなアップデートが吉だと思います。