JVNのWordPress3.3以下のバージョンに関する脆弱性報告についてのメモ
久しぶりにhetemlの管理画面にアクセスしたら、昨年の12月27日付けで「WordPressをご利用のお客様へ」というトピックが掲載されており、内容を確認するとどうやらWordPress3.3より前のバージョンだと非常にクリティカルな脆弱性が存在するとのこと。
年末のゴタゴタに巻き込まれて見落としていたのかと思ったが、WordPressの公式ブログには同様の報告はあがっていないし、そもそもhetemlに掲載されていた情報の元であるJVNのこの報告とこの報告がいつの段階での脆弱性報告なのかいまいち良く分からないため、検索を進めたところWordPress 日本語版作成チームのGoogleグループでJVNの報告に関する議論を発見↓
以下はマクラケン直子さんの記述を引用。
■ 経緯について tenpura さんにチェックをして頂きましたが、一件は4年前にすでに修正されているバグ、もう一件は過去のデフォルトテーマのバグ(こちらも修正済み、現在のテーマには無いバグ)で、2008年くらいから何度も本家にメールを送り続けていたようです。 Ryan、Otto からはこちらから secur...@wordpress.org へメールしたらすぐに(半日以内)返事が来ました。 すでに修正されているバグや実際のセキュリティ脅威とはいえない報告については返事しないポリシーとのことでした。相当な量のレポートやスパムも届いているはずなので、これは仕方ないかと思います。 3.3.1 の件でもみなさんお分かりだと思いますが、本当にバグがあった際にはたいてい数時間以内に動きがあります。 JVN ではソースコードを追わず、日本語版チームに連絡することもなく、また上記 URL の記載内容についても「WordPress バージョン 3.3 より前のバージョン」という表記は誤解を呼ぶので正しく書いて 欲しいとお願いしたのですができないとのことでした。
とりあえず最新のバージョン使っておけということなのでしょうが誤解しまくったので「WordPress バージョン 3.3 より前のバージョン」という表記は止めて欲しいものですね!
