さくらインターネットからメールが来て、Wordpress3.0.3未満でxmlrpc.phpに脆弱性があり踏み台にされる可能性があるとのこと…。その元は、JVNというところからの連絡みたい…。
- JVNDB-2010-004301 WordPress の xmlrpc.php におけるアクセス制限を回避される脆弱性
(公表日 2010/12/08、登録日 2012/09/19、最終更新日 2012/09/19)
WordPress の xmlrpc.php におけるアクセス制限を回避される脆弱性
WordPress の xmlrpc.php 内の XML-RPC リモートパブリッシングインターフェースは、機能のチェックを適切に行わないため、アクセス制限を回避され、投稿を公開、編集、または削除される脆弱性が存在します。…(略)…ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ということで…
2010年12月8日(米国時間)、WordPress バージョン 3.0.3 がリリースされましたXML-RPC リモートパブリッシングインターフェースの一定の環境において、投稿者または寄稿者権限のユーザーが本来権限のない投稿を編集、公開、削除できてしまう問題を修正。 (r16803)
改訂ファイル一覧
う~ん、ちょっと唸ってしまったです…。
文字コード、PHP、MySQLのそれぞれのバージョンがWP2.8あたりから複雑に変化してきた記憶があるです。いったんDBからデータをDLして緊張しながらバージョンアップをやったかと…。文字化けの問題も少し残ったような苦い記憶もあるです。一方で、操作の変更に対応できないという問題もありそうなところはバージョンを3.0.3未満にして今日を迎えている、という例も…、あ~今回の件は最悪か?…グスン。明日以降、改めて対策を考えよう…シクシク。