Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20170218_第5回WordBench山口_LT
Search
Takeshi FURUSATO
February 18, 2017
0
20
20170218_第5回WordBench山口_LT
2017/02/18 第5回WordBench山口
LightningTalkでお話、デモをした内容
WordPress4.7、4.7.1はちゃんとアップデートしましょう。
Takeshi FURUSATO
February 18, 2017
Tweet
Share
More Decks by Takeshi FURUSATO
See All by Takeshi FURUSATO
Okayama.なんか #5 : Okayama.Process
takeshifurusato
0
89
Okayama WordPress Meetup #12 | そのバックアップ、本当に復元できますか? リストアやってみた!
takeshifurusato
0
250
JAWS DAYS 2025 ボランティアスタッフ統括やってみた!
takeshifurusato
0
190
「DenimTech」 ITエンジニアとして岡山で働く理由 ※ふるさとの場合
takeshifurusato
0
17
JBUG岡山 #6 WordCamp男木島の チームビルディング
takeshifurusato
0
400
kintone Café 岡山 vol.7 × SORACOM UG Okayama vol.4 オープニング
takeshifurusato
0
76
kintoneでIoTデータを収集してみた
takeshifurusato
0
180
20210525 TwilioJP-UG Online TwilioSync
takeshifurusato
0
340
FAXによる二要素認証
takeshifurusato
0
520
Featured
See All Featured
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
akihiro_kokubo
PRO
66
37k
Reflections from 52 weeks, 52 projects
jeffersonlam
356
21k
jQuery: Nuts, Bolts and Bling
dougneiner
65
8.4k
AI in Enterprises - Java and Open Source to the Rescue
ivargrimstad
0
1.1k
Are puppies a ranking factor?
jonoalderson
1
2.7k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
12
1k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
7.9k
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
twada
PRO
117
110k
It's Worth the Effort
3n
188
29k
What’s in a name? Adding method to the madness
productmarketing
PRO
24
3.9k
Building Experiences: Design Systems, User Experience, and Full Site Editing
marktimemedia
0
410
Why Our Code Smells
bkeepers
PRO
340
58k
Transcript
WordPress 4.7, 4.7.1 投稿改ざんできちゃう 件 第5回WordBench⼭⼝ LightningTalk 2017-02-18 ふるさとたけし
[email protected]
⾃⼰紹介 •名前︓古⾥ 武⼠(ふるさと たけし) •株式会社イー・ネットワークス 所属 •総務・⼈事、 •Webプログラマ •インフラエンジニア •WordBench倉敷
モデレーター •JAWS-UG岡⼭ 副⽀部⻑
「イーネットワークス」で検索︕
「セキュアフォーム」で検索︕
None
2017/02/04(⼟) 第1回WordBench倉敷 開催しました︕︕
None
None
None
ご参加ありがとう ございました 【急募】 くらしきワプーを デザインしてくれる⽅、募集中。
次回予定 2017年夏頃開催予定︕︕ できたらいいな。。。 第2回 WordBench倉敷 第7回 JAWS-UG岡⼭
さて
2017年01⽉26⽇ WordPress 4.7.2 リリースされました。
皆様、ちゃんと 更新しましたか︖
2017年02⽉01⽇ wordpress.orgにて
https://make.wordpress.org/core/2017/02/01/disclosure-of-additional- security-fix-in-wordpress-4-7-2/
WordPress 4.7および4.7.1には、 情報公開を遅らせた もう⼀つの脆弱性がありました。 REST APIのエンドポイントにおいて、 未認証状態にあって権限が昇格してし まうという脆弱性でした。 以前のバージョンの WordPressやREST
APIには、 この脆弱性は存在していませんでした。
2017年02⽉06⽇ IPA(情報処理推進機構)にて
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html
本脆弱性が悪⽤された場合、遠隔の第三者 によって、サーバ上でコンテンツを改ざん される可能性があります。 本脆弱性を悪⽤する攻撃コードが確認され ていますので、対策済みのバージョンへの アップデートを⼤⾄急実施してください。 開発者は本脆弱性を 1 ⽉ 26
⽇に更新され た「4.7.2」で修正しましたが、利⽤者の安 全を確保するため、脆弱性の内容について は 2 ⽉ 1 ⽇まで公開を遅らせていたとの ことです。
2/7 更新 Sucuri 社によると、本脆弱性を悪⽤して多 数のウェブサイトが改ざんされたとの情報 がありますので、対策済みのバージョンへ のアップデートを⼤⾄急実施してください。
2017年02⽉06⽇ 徳丸さんのブログにて
http://blog.tokumaru.org/2017/02/wordpress-4.7.1-Privilege-Escalation.html?m=1
WordPress本体に久しぶりに重⼤な脆弱性 が⾒つかったと発表されました。 こんな⾵に書くと、WordPressの脆弱性な んてしょっちゅう⾒つかっているという意 ⾒もありそうですが、能動的かつ認証なし に、侵⼊できる脆弱性はここ数年出ていな いように思います。そういうクラスのもの が久しぶりに⾒つかったということですね。
認証なしにリクエスト⼀発でコンテンツを 改ざんできるため、影響は極めて深刻です。 対象バージョンをお使いの⽅は、即刻アッ プデートすることをお勧めします。
デモします。
こわっ︕︕
ちゃんとアップデート しましょう︕︕
ご清聴 ありがとう ございました。
takeshifurusato
akihiro_kokubo
jeffersonlam
dougneiner
ivargrimstad
jonoalderson
tammyeverts
eileencodes
twada
3n
productmarketing
marktimemedia
bkeepers
![WordPress 4.7, 4.7.1 投稿改ざんできちゃう 件 第5回WordBench⼭⼝ LightningTalk 2017-02-18 ふるさとたけし [email protected]](https://files.speakerdeck.com/presentations/3ac99f2d695e4f92b1c865973302914d/slide_0.jpg){kind=link}
