WordPress 4.7.2 セキュリティーフィックスについての追加情報開示

SPONSORED LINK

先日リリースされたWordPress 4.7.2。先日の投稿でもお知らせした脆弱性の他にも、水面下で修正が行われていた脆弱性が存在していました。WordPress.orgのセキュリティーチームによって対応がなされるなか、いくつかのセキュリティ関連プラグイン、ネットワーク提供者、WAF提供者とWordPress.orgが協業して、ユーザーのWordPressを守っていました。この脆弱性と経緯について「透明性が公共の最大の関心・利益である」として、情報開示が行われていましたので翻訳します。


1月26日、WordPress 4.7.2がリリースされました。まだ更新していない方は、直ちに更新してください。

元のリリースポストで言及された3つのセキュリティ脆弱性に加えて、WordPress 4.7および4.7.1には、情報公開を遅らせたもう一つの脆弱性がありました。 それは、Unauthenticated Privilege Escalation Vulnerability in a REST API Endpoint(REST APIのエンドポイントにおいて、未認証状態にあって権限が昇格してしまうという脆弱性)でした。以前のバージョンのWordPressやREST APIには、この脆弱性は存在していませんでした。

私たちは、透明性が公共の最大の関心事であると信じています。私たちの立場は、セキュリティーについての情報はを常に開示しなければならないというものです。今回のケースでは、何百万ものWordPressサイトの安全性を確保するために、情報公開を意図的に一週間延期しました。

1月20日、Sucuriがそのセキュリティーリサーチャー、Marc-Alexandre Montpasが発見した脆弱性についてアラートを送ってくれました。セキュリティチームは、問題の評価と解決を開始しました。初期の修正は早い段階でなされましたが、セキュリティーチームはより多くのテストが必要であると感じました。

この間、SucuriはWebアプリケーションファイアウォール(WAF)にルールを追加して、顧客(Sucuriユーザー)に対する攻撃をブロックしました。この問題はSucuri内部で発見されたもので、外部からの攻撃は確認されませんでした。

週末には、SiteLock、Cloudflare、IncapsulaなどのWAFを持つ他の企業にも連絡を取り、より多くのユーザーを保護するためのルールを協力して作成しました。月曜日には、ルールが完成・反映され、外部からの攻撃の試みの定期的な監視をはじめました。

月曜日になって、修正プログラムをテスト・改良し続けている間に、今度はWordPressのホスティングをしている事業者に焦点を当てました。私たちは非公開な形でホスティング事業者に連絡を取り、脆弱性に関する情報とユーザーを保護する方法を伝えました。ホスティング事業者はセキュリティチームと緊密に協力しながら防御を固め、ユーザーに対する攻撃の試みの常時監視をはじめました。

水曜日の午後までに、共同作業に参加した事業者の大半は、ユーザー保護の実施に移りました。協業する4つのWAFとWordPressホスティング事業者から送られてくるデータを見ると、この脆弱性が外部(今回協力したステークホルダー以外の外部)によって悪用されたという兆候は見られませんでした。この結果を受けて、今回の脆弱性に関する情報の公開を延期し、自動更新の実行時間を確保し、問題が公開される前にできるだけ多くのユーザーが保護されるようにしたのです。

1月26日木曜日、私たちはWordPress 4.7.2をリリースしました。このリリースは自動アップデートの仕組みを通じてリリースされ、数時間後には、何百万人ものWordPress 4.7.xユーザーが、この問題を知ることなく、何も作業することなく保護されました。

Sucuriの責任ある開示について感謝するとともに、できるだけ多くのWordPressサイトが確実に4.7.2に更新されるまで、開示を遅らせながら私たちと協力してくれたことに感謝します。また、緊密な協力の中でユーザー保護とシステム監視を実施してくれたWAF、ホスティング事業者にも感謝します。本日時点で、私たちの知る限り、この脆弱性を悪用しようとする試みはありませんでした。


以下は、補足で行ったTweetのまとめです。

Club Capital P

Club Capital PはCapital Pのファンクラブです。有料会員制となっており、Gumroad経由でサブスクリプションをご購入いただき、ライセンスキーを登録いただくことで、会員特典を受け取ることができます。