この日記は https://yapud.hatenablog.com/ に引っ越し中
2017-02-02
_ [Software] Wordpress 4.7.0 と 4.7.1 で REST API まわりの脆弱性
WordPress 4.7.2 セキュリティーフィックスについての追加情報開示 - Capital P
Wordpress 4.7.0 と 4.7.1 で、REST APIのエンドポイントにおいて未認証状態にあって権限が昇格してしまうという脆弱性がある、と。
認証なしでコンテンツを操作されてしまうかも知れないから早急にバージョンアップしなさいね、とのこと。
初期値だと自動更新になってるはずなので皆さんの環境は既に新しくなっているでしょう、そうでなくてもWAFなどのシグネチャが配信されてるので保護されているでしょう、という話ですが。
自動更新キライな人多くて。わりとOFFにされがちなんですよ。SIなんかが噛んでたりするともうめんどくささがすごい。この(納入時の)バージョンのみサポートします、なんてことになるのでヘタにバージョンアップできないし、やろうとしたら別プロジェクトを起こして決裁取ってなんだかんだでスピード感ある脆弱性対策できないんすよね。
だからもうWAF入れるしかないわ状態。WAF屋さんはうれしいんだろうけど。
[ツッコミを入れる]
| 前 | 2017年 2月 |
次 | ||||
| 日 | 月 | 火 | 水 | 木 | 金 | 土 |
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | ||||