Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20170218_第5回WordBench山口_LT
Search
Takeshi FURUSATO
February 18, 2017
0
18
20170218_第5回WordBench山口_LT
2017/02/18 第5回WordBench山口
LightningTalkでお話、デモをした内容
WordPress4.7、4.7.1はちゃんとアップデートしましょう。
Takeshi FURUSATO
February 18, 2017
Tweet
Share
More Decks by Takeshi FURUSATO
See All by Takeshi FURUSATO
Okayama.なんか #5 : Okayama.Process
takeshifurusato
0
67
Okayama WordPress Meetup #12 | そのバックアップ、本当に復元できますか? リストアやってみた!
takeshifurusato
0
160
JAWS DAYS 2025 ボランティアスタッフ統括やってみた!
takeshifurusato
0
120
「DenimTech」 ITエンジニアとして岡山で働く理由 ※ふるさとの場合
takeshifurusato
0
10
JBUG岡山 #6 WordCamp男木島の チームビルディング
takeshifurusato
0
380
kintone Café 岡山 vol.7 × SORACOM UG Okayama vol.4 オープニング
takeshifurusato
0
64
kintoneでIoTデータを収集してみた
takeshifurusato
0
160
20210525 TwilioJP-UG Online TwilioSync
takeshifurusato
0
300
FAXによる二要素認証
takeshifurusato
0
460
Featured
See All Featured
How to Ace a Technical Interview
jacobian
279
23k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3.4k
A Tale of Four Properties
chriscoyier
160
23k
How STYLIGHT went responsive
nonsquared
100
5.7k
4 Signs Your Business is Dying
shpigford
184
22k
Six Lessons from altMBA
skipperchong
28
4k
Navigating Team Friction
lara
189
15k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
Practical Orchestrator
shlominoach
190
11k
VelocityConf: Rendering Performance Case Studies
addyosmani
332
24k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Art, The Web, and Tiny UX
lynnandtonic
302
21k
Transcript
WordPress 4.7, 4.7.1 投稿改ざんできちゃう 件 第5回WordBench⼭⼝ LightningTalk 2017-02-18 ふるさとたけし
[email protected]
⾃⼰紹介 •名前︓古⾥ 武⼠(ふるさと たけし) •株式会社イー・ネットワークス 所属 •総務・⼈事、 •Webプログラマ •インフラエンジニア •WordBench倉敷
モデレーター •JAWS-UG岡⼭ 副⽀部⻑
「イーネットワークス」で検索︕
「セキュアフォーム」で検索︕
None
2017/02/04(⼟) 第1回WordBench倉敷 開催しました︕︕
None
None
None
ご参加ありがとう ございました 【急募】 くらしきワプーを デザインしてくれる⽅、募集中。
次回予定 2017年夏頃開催予定︕︕ できたらいいな。。。 第2回 WordBench倉敷 第7回 JAWS-UG岡⼭
さて
2017年01⽉26⽇ WordPress 4.7.2 リリースされました。
皆様、ちゃんと 更新しましたか︖
2017年02⽉01⽇ wordpress.orgにて
https://make.wordpress.org/core/2017/02/01/disclosure-of-additional- security-fix-in-wordpress-4-7-2/
WordPress 4.7および4.7.1には、 情報公開を遅らせた もう⼀つの脆弱性がありました。 REST APIのエンドポイントにおいて、 未認証状態にあって権限が昇格してし まうという脆弱性でした。 以前のバージョンの WordPressやREST
APIには、 この脆弱性は存在していませんでした。
2017年02⽉06⽇ IPA(情報処理推進機構)にて
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html
本脆弱性が悪⽤された場合、遠隔の第三者 によって、サーバ上でコンテンツを改ざん される可能性があります。 本脆弱性を悪⽤する攻撃コードが確認され ていますので、対策済みのバージョンへの アップデートを⼤⾄急実施してください。 開発者は本脆弱性を 1 ⽉ 26
⽇に更新され た「4.7.2」で修正しましたが、利⽤者の安 全を確保するため、脆弱性の内容について は 2 ⽉ 1 ⽇まで公開を遅らせていたとの ことです。
2/7 更新 Sucuri 社によると、本脆弱性を悪⽤して多 数のウェブサイトが改ざんされたとの情報 がありますので、対策済みのバージョンへ のアップデートを⼤⾄急実施してください。
2017年02⽉06⽇ 徳丸さんのブログにて
http://blog.tokumaru.org/2017/02/wordpress-4.7.1-Privilege-Escalation.html?m=1
WordPress本体に久しぶりに重⼤な脆弱性 が⾒つかったと発表されました。 こんな⾵に書くと、WordPressの脆弱性な んてしょっちゅう⾒つかっているという意 ⾒もありそうですが、能動的かつ認証なし に、侵⼊できる脆弱性はここ数年出ていな いように思います。そういうクラスのもの が久しぶりに⾒つかったということですね。
認証なしにリクエスト⼀発でコンテンツを 改ざんできるため、影響は極めて深刻です。 対象バージョンをお使いの⽅は、即刻アッ プデートすることをお勧めします。
デモします。
こわっ︕︕
ちゃんとアップデート しましょう︕︕
ご清聴 ありがとう ございました。
takeshifurusato
jacobian
philnash
chriscoyier
nonsquared
shpigford
skipperchong
lara
chrisshort
shlominoach
addyosmani
afnizarnur
lynnandtonic
![WordPress 4.7, 4.7.1 投稿改ざんできちゃう 件 第5回WordBench⼭⼝ LightningTalk 2017-02-18 ふるさとたけし [email protected]](https://files.speakerdeck.com/presentations/3ac99f2d695e4f92b1c865973302914d/slide_0.jpg){kind=link}
