「Version 3.6.1」の版間の差分

2013年9月12日 (木) 23:43時点における最新版

2013年9月11日、WordPress 3.6.1 がリリースされました。これはメンテナンスとセキュリティーのアップデートです。

インストール・アップグレードについて

WordPress 3.6.1 をダウンロードするためには、ダッシュボードの「更新」メニューから自動的にアップデートするか、http://wordpress.org/download/release-archive/ からダウンロードして下さい。

WordPress インストールおよびアップデートのステップ・バイ・ステップの手順は、こちらを参照してください:

WordPress のアップグレード

WordPress が初めての場合、下記から始めると良いでしょう:

まとめ

Version 3.6.1 のお知らせ(英語原文) によると、このメンテナンスリリースは Versoin 3.6 の 13 個のバグに対応しています。

さらに、 Version 3.6.1 は3つのセキュリティ問題を修正しています。

リモートコード実行:

特定の状況とセットアップ時に於いてリモートからのコード実行が可能となりうる、安全でない PHP de-serialization をブロックしました。 Tom Van Goethem からのレポート。CVE-2013-4338。

リンクインジェクション / リダイレクトを開く:

ユーザーを他のウェブサイトへリダイレクトあるいはリードしうる、入力の不適切な認証を修正。アメリカ疾病予防管理センター下請けのノースロップ・グラマン勤務、Dave Cummo からのレポート。CVE-2013-4339。

権限のエスカレーション:

投稿者権限を持ったユーザーが細工をしたリクエストを送ることで、他のユーザーが書いたように偽装することを防ぎました。 Anakorn Kyavatanakij からのレポート。CVE-2013-4340。

さらなるセキュリティ強化策:

ファイルアップロードに関するセキュリティ制限をアップデートし、潜在的なクロスサイトスクリプティングのリスクを軽減させました。 .swf と .exe の拡張子を持つファイルのアップロードは、デフォルトでは無効となりました。ユーザーがフィルターされていない HTML を使うことが出来る場合、 .htm と .html のみがアップロード可能となりました。

Version 3.6.1 での全ての変更内容は、 http://core.trac.wordpress.org/log/branches/3.6?stop_rev=24972&rev=25345 を参照してください。

改訂されたファイル一覧

readme.html
wp-admin/about.php
wp-admin/nav-menus.php
wp-admin/includes/post.php
wp-admin/includes/update-core.php
wp-admin/includes/template.php
wp-admin/network/upgrade.php
wp-admin/js/common.js
wp-includes/pluggable.php
wp-includes/comment-template.php
wp-includes/post-template.php
wp-includes/version.php
wp-includes/theme.php
wp-includes/functions.php
wp-includes/ms-functions.php
wp-includes/link-template.php
wp-includes/class-http.php
wp-includes/js/jquery/jquery.js
wp-includes/js/tinymce/plugins/wordpress/editor_plugin.js
wp-includes/js/tinymce/plugins/wordpress/editor_plugin_src.js
wp-includes/js/tinymce/wp-tinymce.js.gz

WordPress バージョンの一覧もあわせてご覧ください。

最新英語版： WordPress Codex » Version_3.6.1 （最新版との差分）

@@ 21行目: / 21行目: @@
 さらに、 Version 3.6.1 は3つのセキュリティ問題を修正しています。
-* Remote Code Execution: Block unsafe PHP de-serialization that could occur in limited situations and setups, which can lead to remote code execution. Reported by Tom Van Goethem. CVE-2013-4338.
+* リモートコード実行:
-* Link Injection / Open Redirect: Fix insufficient input validation that could result in redirecting or leading a user to another website. Reported by Dave Cummo, a Northrup Grumman subcontractor for the U.S. Centers for Disease Control and Prevention. CVE-2013-4339.
+特定の状況とセットアップ時に於いてリモートからのコード実行が可能となりうる、安全でない PHP de-serialization をブロックしました。
-* Privilege Escalation: Prevent a user with an Author role, using a specially crafted request, from being able to create a post "written by" another user. Reported by Anakorn Kyavatanakij. CVE-2013-4340.
+Tom Van Goethem からのレポート。CVE-2013-4338。
-Additional security hardening:
+* リンクインジェクション / リダイレクトを開く:
-* Updated security restrictions around file uploads to mitigate the potential for cross-site scripting. The extensions .swf and .exe are no longer allowed by default, and .htm and .html are only allowed if the user has the ability to use unfiltered HTML.
+ユーザーを他のウェブサイトへリダイレクトあるいはリードしうる、入力の不適切な認証を修正。
+アメリカ疾病予防管理センター下請けのノースロップ・グラマン勤務、Dave Cummo からのレポート。CVE-2013-4339。
-A full log of the changes made for 3.6.1 can be found at http://core.trac.wordpress.org/log/branches/3.6?stop_rev=24972&amp;rev=25345.
+* 権限のエスカレーション:
+投稿者権限を持ったユーザーが細工をしたリクエストを送ることで、他のユーザーが書いたように偽装することを防ぎました。
+Anakorn Kyavatanakij からのレポート。CVE-2013-4340。
+さらなるセキュリティ強化策:
+* ファイルアップロードに関するセキュリティ制限をアップデートし、潜在的なクロスサイトスクリプティングのリスクを軽減させました。 .swf と .exe の拡張子を持つファイルのアップロードは、デフォルトでは無効となりました。ユーザーがフィルターされていない HTML を使うことが出来る場合、 .htm と .html のみがアップロード可能となりました。
+Version 3.6.1 での全ての変更内容は、 [http://core.trac.wordpress.org/log/branches/3.6?stop_rev=24972&amp;rev=25345 http://core.trac.wordpress.org/log/branches/3.6?stop_rev=24972&amp;rev=25345] を参照してください。
 <div id="List of Files Revised">

「Version 3.6.1」の版間の差分

2013年9月12日 (木) 23:43時点における最新版

インストール・アップグレードについて

まとめ

改訂されたファイル一覧

案内メニュー

個人用ツール

名前空間

変種

表示

その他

検索

このサイトについて

特集

リファレンス

サーバー別情報

ドキュメント整備

協力・貢献

WordPress関連リンク

ツール