さくらインターネットのお知らせを見ていると、こちらのブログでも利用しているWordPressというコンテンツマネジメントシステム(CMS)に不具合があることが周知されていました。(その後、契約者に対して同様の内容がメールでも周知されました)
不具合の内容
具体的には2月5日に公開されたバージョン4.9.3は34件のバグフィックスを実施したメンテナンスリリースでしたが、このバージョンに本体のアップデートを自動的に実施することができなくなる不具合が含まれていることが明らかになったそうです。この4.9.3を利用していると、今後のWordPressのアップデートがあったとしても、自動的にはアップデートが行われなくなるため、そのまま利用し続けると、脆弱性を抱えたまま運用してしまうリスクがあります。もしも、WordPressのダッシュボードでバージョンを確認した際に、4.9.3を利用していた場合にh、このバグを改修してあるバージョン4.9.4以降の製品に主導でアップデートをすることを求めています。こちらのブログでバージョン番号を調べてみると、4.9.4となっていました。たまたま、4.9.3へのアップデートは免れたようです。4.9.3は公開されていた期間も少なかったのかもしれません。
セキュリティ関連
さらには、セキュリティ研究者がWordPressを導入しているサイトで認証なくアクセスできるファイルより、JavaScriptのモジュールを大量にリクエストすると、DoS状態を引きおこすことが可能だと指摘しています。実際に同氏がPoCでテストを実施し500回ほどリクエストを行ったところでサービス停止が発生しました。こちらのサイトではAdmin権限を要するフォルダーにはいくつかのセキュリティ対策を実施していますが、具体的にどのファイルなのかが記事からでは判らなかったので、続報を待つようにします。
コメント