WordPress PHPMailerのアップデートを含むマイナーアップデート 4.7.1 が1月11日に。

WordPress のマイナーアップデートが1月11日にリリースされ、62の改善が行われます。RC(Release Candidate リリース候補版)が本日リリースされており、テストへの協力が呼びかけられています。

4.7.1 Release Candidate

PHPMailer のアップデート

今回のマイナーアップデートでは、WordPress に含まれる PHPMailer が 5.2.21 にアップデートされます。これは、先月発表されたこのライブラリのセキュリテイ上の脆弱性に対応するものではあるものの、4.7 までの WordPress であっても、WordPress 本体、及びほぼすべてのプラグインでは、この脆弱性の影響は受けないことが分かっています。

以下は上記ポストの関連する部分の引用です。

Last month a security vulnerability (CVE 20016-10033) in the PHPMailer library was made public. WordPress uses this library as the basis for its email functionality. The Security Team has spent some time analysing this vulnerability, and how it applies to WordPress. This vulnerability does not appear to be directly exploitable in WordPress Core, or any major plugins in the plugin directory. The wp_mail() function, which WordPress Core and most plugins use for sending email, blocks this vulnerability from being exploited.

翻訳は以下のようになります。

先月、PHPMailer ライブラリのセキュリティ脆弱性が公にされました。WordPressは、WordPress内部のメール機能の基盤としてこのライブラリを利用しています。セキュリティーチームはこの脆弱性と、この脆弱性のWordPressにも適用されるのかどうかを解析しました。結果、この脆弱性はWordPress及びWordPressのプラグインディレクトリにある主要なプラグインで直接的に悪用可能ではないとみなされました。WordPressとほとんどすべてのプラグインがメール送信時に使っているwp_mail() 関数が、この脆弱性の悪用をブロックしています。

WordPress のセキュリティーチームは、同梱するライブラリは、その機能を利用しているかどうかに関係なく、常に安全なライブラリのみを含めるとしています。今回のPHPMailerライブラリのアップデートもこの方針によって行われるものです。

その他のフィックス

この他の変更点については、上記ポストにリストがまとめられています。

WordPress のマイナーアップデートとは

WordPress にはメジャーアップデートとマイナーアップデートとがあります。メジャーアップデートは関数・API・機能の追加などが含まれるものであるのに対し、マイナーアップデートはセキュリティー脆弱性への対応やバグの修正のみが行われるものです。また、バージョン3.7以降のWordPressでは、マイナーアップデートはデフォルトで自動的に行われるようになっています。

セキュリティーの脆弱性となりうるバグを見つけたら

WordPress を利用している際に脆弱性かもしれないバグを見つけた場合には、チケットやフォーラムなどに報告することは避けて、 security [at] wordpress.org というセキュリティーの専門家やコアの開発者の一部が受け取るメールアドレスか、WordPress日本語チームのメンバーにつながる問い合わせフォームへ、詳しい情報を送るようにしてください。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください