3. Mar 2007 /

Word­Press 2.1.1 dan­ger­ous, Upgrade to 2.1.2 の邦訳

via Word­Press › Blog » Word­Press 2.1.1 dan­ger­ous, Upgrade to 2.1.2

Otsukare さんから [重要] 2.1.1 の危険性について の添削して欲しいと言われて気付いたこの事件。全訳したのでここに載せます。taiさんも後で翻訳するらしいのでそちらも参照を。

以下は邦訳全文。誤訳の指摘/訳抜けの指摘/訂正/ツッコミ/その他お待ちしてます。
yurikoさんに指摘された部分を追記

長い話なので手短に言うと:

もし Word­Press ver. 2.1.1をここ3–4日以内にダウンロードしていたのなら,ダウンロードしたそのファイルにはクラッカーによって加えられたセキュリティの脆弱性セとセキュリティの抜け穴 があるので,早めに2.1.2へアップグレードしてください。

長い話なので長い説明: 

今朝私たちはセキュリティに関してのメールアドレスに異常でかつ危険性の高い抜け穴を持つコードWord­Press に存在すると言う警告を受け取りました。この問題点を詳しく調べたところ,2.1.1のダウンロードセクション内のファイルにあるコードがオリジナルのコードから変更されているようだと判明しました。そして何が起こったのかを詳しく調べるため,直ちにサイトをダウンさせました。

クラッカーが wordpress.org に対する自身のユーザレベルを上げてアクセスし,ダウンロードファイルへの変更をした,ということが分かりました。さらに調査を進めるため,サーバをロックダウンさせました。しかしながら,今回は Word­Press 2.1.1のダウンロードファイルのみがクラッカーによってタッチ(変更)されたことが分かりました。クラッカーは WP 内の2つのファイルを外部からPHPの実行を許可させるようなコードへ書き換えていました。

ユーザの方々はこのような事態が起こると思わなかったと思います。しかしながら起こりました。今回,私たちはこの事態から学び,ベストの対処をできたと考えています。バージョン2.1.1のファイル全てが変更されたわけではないとはいえ,バージョン2.1.1全体が危険だと宣言し,マイナーなアップデートを含み全体を検証したコード全体の検証とマイナーなアップデートを含んだマイナーなアップデートを含み,全体を検証した新バージョンの2.1.2をリリースします。このような事態が二度と起こらないように多くの手段を講じています。not the least of which is minutely extern­al veri­fic­a­tion of the down­load pack­age so we’ll know imme­di­ately if some­thing goes wrong for any reas­on. その手段とは、ダウンロードパッケージを外部で微細な検証を行うだけに留まりません。どんな原因でも、何か不具合が発生すればすぐに分かるようになっています。

最後に,SVNやその他のユーザのパスワードSVN とそれ以外にアクセス可能なユーザーのうち何人かのパスワードをリセットしました。ログインする前にフォーラムでパスワードの再設定をしなくてはいけないでしょう。

ヘルプ

2.1.1を使っているならすぐにアップグレードし,全てのファイルを,特に /wp-inclues/ 内にあるファイルを,確実に上書きしてください。友達のブログをチェックして 2.1.1 を使っているようなら忠告をしてください。そしてもし可能なら,アップグレードの支援や手伝いをしてあげてください。

ネットワークホストウェブホストやネットワークアドミニストレータ(ネットワーク管理者)なら “theme.php“ と “feed.php“ や “ix=“ や “iz=“ を含むようなクェリへのアクセスを禁止してください。ウェブホストのカスタマの方はウェブホストの管理者へ今回の緊急リリースと上記の情報を報告してください。

徹夜でこの問題を理解し,対処してくれた Ryan,Barry,Donncha,Mark,Michael そして Dou­galへ感謝し,またこのトラブルを報告してくれた Ivan Frat­ric を一番の感謝を捧げます。またこの問題点を真っ先に報告してくれた Ivan Frat­ric に感謝します。

Q&A

通常にない,緊急リリースのため,メールでの質問や他の情報を提供用に専用のメールアドレス: 21securityfaq@wordpress.org を用意しました。提供された情報を元に今日中にこのエントリーをアップデートします。質問用メールアドレス 21securityfaq@wordpress.org を用意しました。また、このエントリーを常に更新してさらなる情報を追加します。

バージョン2.0.xはどう?

2.1.1以外のバージョンは変更されていません。もし,ダウンロードしたファイルがバージョン2.0系のものだったのなら問題はありません。

SVNでアップデートする場合はどうするの?

Sub­ver­sioqn のレポジトリがタッチ(変更)された様子はありません。なので SVN 経由でアップデートしている場合はブログをアップデートしていたり管理していれば汚染された(クラックされた)ファイルをダウンロードすることはありません。

TagsDevelopment Security Trouble Web WordPress WordPress

aka Written by:

8 Comments

  1. Diary::Weblog
    3. Mar 2007

    Word­Press 2.0.9 か 2.1.1 (2.1.2)…

    一応、普段からこまめにアップデートは行っており、2.0.9 までにはしていた当サイト。
    pluginの対応状況も見ながら、少し先延ばしにしようかと思っていたのですが、先日リリースされた W…

  2. yuriko
    3. Mar 2007

    すばらしい訳ですが、細かいところで気になってしまいました。未訳部分も訳してみました。

    長い話なので手短に
    手短に書くと
    セキュリティの脆弱性
    セキュリティの抜け穴(exploit と vul­ner­ab­il­ity は使い分けが必要)
    長い話の長い説明
    長い説明
    以上でかつ高い脆弱性のコード
    異常でかつ危険性の高い抜け穴 (exploit) コード
    コード全体の検証とマイナーなアップデートを含んだ
    マイナーなアップデートを含み全体を検証した(順序が逆になっている)
    not the least of which is minutely extern­al veri­fic­a­tion of the down­load pack­age so we’ll know imme­di­ately if some­thing goes wrong for any reason.
    その手段とは、ダウンロードパッケージを外部で微細な検証を行うだけに留まりません。どんな原因でも、何か不具合が発生すればすぐに分かるようになっています。
    SVNやその他のユーザのパスワード
    SVN とそれ以外にアクセス可能なユーザーのうち何人かのパスワード
    ヘルプ
    あなたができること
    アップグレードの手伝いを
    アップグレードの支援や手伝いを(pitch in が抜けている)
    ネットワークホストやネットワークアドミニストレータなら
    ウェブホストやネットワークの管理者なら
    またこのトラブルを報告してくれた Ivan Frat­ric を一番の感謝を捧げます。
    またこの問題点を真っ先に報告してくれた Ivan Frat­ric に感謝します。
    メールでの質問や他の情報を提供用に専用のメールアドレス: 21securityfaq@wordpress.org を用意しました。提供された情報を元に今日中にこのエントリーをアップデートします。
    質問用メールアドレス 21securityfaq@wordpress.org を用意しました。また、このエントリーを常に更新してさらなる情報を追加します。
    Sub­ver­sioqn のレポジトリがタッチ(変更)された様子はありません。なので SVN 経由でアップデートしている場合は汚染された(クラックされた)ファイルをダウンロードすることはありません。
    Sub­ver­sion のリポジトリはいじられていません。なので、SVN 経由でブログをアップデートしたり管理していれば、破損したリリースファイルをダウンロードしていることはありません。

  3. aka
    3. Mar 2007

    ありがとうございます。
    ザックリ訳して載せたので今日中に修正/アップデートしようと考えていたところで助かりました 🙂

  4. tai
    3. Mar 2007

    akaさん、翻訳ごくろうさまです。akaさんが翻訳してくれたので私は訳しません。 :d

    Yurikoさん、
    »セキュリティの抜け穴(exploit と vulnerability
    »は使い分けが必要)

    な〜る。私は完全にごっちゃにしてました。。自分のも訂正しときます。

    ところで、
    »not the least of which
    ですが、私なら、
    『(その手段の中でも)特にダウンロードパッケージを外部で微細な検証を行うことにより〜』
    と訳します。

  5. yuriko
    4. Mar 2007

    dl タグを使ってコメントしたんですが、WP に削除されてしまって読みにくくなってすいませんでした。

    >『(その手段の中でも)特にダウンロードパッケージを外部で微細な検証を行うことにより〜』

    その方が正確ですね。at least じゃなくて not the least だとそうなるでしょう。

    あと、 exploit の訳は、セキュリティー業界では「攻撃」が一般的なようです。highly exploit­able code は「危険な攻撃可能コード」でいいと思います。

  6. orioa
    4. Mar 2007

    Word­Press 2.1.2 リリース…

    なにやら大変なことになってしまったWPですが・・・
    taiさんの情報によると、
    Word­Press 2.1.1は危険です、2.1.2にアップグレードしてください
    WordPressの公式開発ブログにて、2.1.1にセキュリ.….

  7. 昼行灯行状記2.0
    7. Mar 2007

    Word­Press 2.1.1 dangerous!…

    Word­Press 2.1.1のダウンロードパッケージがクラッカーによって手を入れられたということです。
    リモート操作可能なコードが埋め込まれているということなので、2.1.1(not ME)ユーザーの方は.…

Comments are closed.