WordPress 5.8.1 セキュリティ&メンテナンスリリース

XSS WordPress
クロスサイトスクリプティング xss 出典:IPA 情報処理推進機構
記事内に広告が含まれています。
PR広告
PR広告

Security Update

5.8.1セキュリティメンテナンス

2021/09/09 WordPress 5.8.1 セキュリテイ対策3件 + 60件のバグに対処したリリース

Thank you for reading this post, don't forget to subscribe!

セキュリティに関する修正として、

  • REST API」における情報漏洩の脆弱性対応

  (RESTAPI内のデータ公開の脆弱性を修正)

  • ブロックエディタにおけるクロスサイトスクリプティング(XSS)の脆弱性対応

  (ブロックエディタでXSSの脆弱性)

  • セキュリティ修正が行われたライブラリ「Lodash」のアップデート

 (Lodashライブラリは、各ブランチでバージョン4.17.21に更新され、アップストリームのセキュリティ修正が組み込まれています。)

PR広告

REST API

REST API の問題で思い起こされるのは、2017年の1月から2月にかけて起きたWordPressのバージョン「4.7」および「4.7.1」で、REST APIの脆弱性を突かれたセキュリティ事故(155万以上のサイトが改ざんされた)・・・これは既に対応バージョン4.7.2で回避されたが、「REST API」については常に脆弱性を狙った攻撃があるものと覚悟して、脆弱性が発見されたら直ぐに対応バージョンをあてるという対策は常に行うべきもの

REST APIはデフォルトで有効

対策をされていない場合、脆弱性が悪用されると、本来必要な認証をせずに、ウェブサイトのコンテンツの投稿や編集、削除といった改ざんが可能となる。

出典:IPA 独立行政法人 情報処理推進機構

 xss : クロスサイト スクリプティング

XSS

XSS
クロスサイトスクリプティング 図の出典:IPA

ウェブアプリケーションの中には、検索のキーワードの表示画面や個人情報登録時の確認画面、掲示板、ウェブのログ統計画面等、利用者からの入力内容やHTTPヘッダの情報を処理し、ウェブページとして出力するものがあります。
ここで、ウェブページへの出力処理に問題がある場合、そのウェブページにスクリプト等を埋め込まれてしまいます。
この問題を「クロスサイト・スクリプティングの脆弱性」と呼び、この問題を悪用した攻撃手法を、「クロスサイト・スクリプティング攻撃」と呼びます。
クロスサイト・スクリプティング攻撃の影響は、ウェブサイト自体に対してではなく、そのウェブサイトのページを閲覧している利用者に及びます


出典:IPA 独立行政法人 情報処理推進機構

xss攻撃の実際


以下は、私のサイトにXSS攻撃があってWordfenceが防御したものです。



XSS
XSS攻撃の実際

発生しうる脅威

クロスサイト・スクリプティング攻撃により、発生しうる脅威は次のとおりです。

– 本物サイト上に偽のページが表示される
  ・ 偽情報の流布による混乱
  ・ フィッシング詐欺による重要情報の漏えい 等

– ブラウザが保存しているCookieを取得される
  ・ Cookie にセッションIDが格納されている場合、さらに利用者へのなりすましにつながる 
  ・ Cookie に個人情報等が格納されている場合、その情報が漏えいする

– 任意のCookieをブラウザに保存させられる
  ・ セッションIDが利用者に送り込まれ、「セッションIDの固定化」 攻撃に悪用される

今回のアップデートは5.8ブランチ以外も対象

セキュリティアップデート 5.8.1を参照
バージョン ブランチ 内容
5.7.35.7セキュリティアップデート 5.8.1を参照
5.6.55.6セキュリティアップデート 5.8.1を参照
5.5.65.5セキュリティアップデート 5.8.1を参照
5.4.75.4セキュリティアップデート 5.8.1を参照
5.3.85.3セキュリティアップデート 5.8.1を参照
5.2.125.2セキュリティアップデート 5.8.1を参照

コメント