via WordPress › Blog » WordPress 2.1.1 dangerous, Upgrade to 2.1.2

Otsukare さんから [重要] 2.1.1 の危険性について の添削して欲しいと言われて気付いたこの事件。全訳したのでここに載せます。taiさんも後で翻訳するらしいのでそちらも参照を。

以下は邦訳全文。誤訳の指摘/訳抜けの指摘/訂正/ツッコミ/その他お待ちしてます。
yurikoさんに指摘された部分を追記

長い話なので手短に言うと:

もし WordPress ver. 2.1.1をここ3-4日以内にダウンロードしていたのなら,ダウンロードしたそのファイルにはクラッカーによって加えられたセキュリティの脆弱性セとセキュリティの抜け穴 があるので,早めに2.1.2へアップグレードしてください。

長い話なので長い説明:

今朝私たちはセキュリティに関してのメールアドレスに異常でかつ危険性の高い抜け穴を持つコードWordPress に存在すると言う警告を受け取りました。この問題点を詳しく調べたところ,2.1.1のダウンロードセクション内のファイルにあるコードがオリジナルのコードから変更されているようだと判明しました。そして何が起こったのかを詳しく調べるため,直ちにサイトをダウンさせました。

クラッカーが wordpress.org に対する自身のユーザレベルを上げてアクセスし,ダウンロードファイルへの変更をした,ということが分かりました。さらに調査を進めるため,サーバをロックダウンさせました。しかしながら,今回は WordPress 2.1.1のダウンロードファイルのみがクラッカーによってタッチ(変更)されたことが分かりました。クラッカーは WP 内の2つのファイルを外部からPHPの実行を許可させるようなコードへ書き換えていました。

ユーザの方々はこのような事態が起こると思わなかったと思います。しかしながら起こりました。今回,私たちはこの事態から学び,ベストの対処をできたと考えています。バージョン2.1.1のファイル全てが変更されたわけではないとはいえ,バージョン2.1.1全体が危険だと宣言し,マイナーなアップデートを含み全体を検証したコード全体の検証とマイナーなアップデートを含んだマイナーなアップデートを含み,全体を検証した新バージョンの2.1.2をリリースします。このような事態が二度と起こらないように多くの手段を講じています。not the least of which is minutely external verification of the download package so we’ll know immediately if something goes wrong for any reason. その手段とは、ダウンロードパッケージを外部で微細な検証を行うだけに留まりません。どんな原因でも、何か不具合が発生すればすぐに分かるようになっています。

最後に,SVNやその他のユーザのパスワードSVN とそれ以外にアクセス可能なユーザーのうち何人かのパスワードをリセットしました。ログインする前にフォーラムでパスワードの再設定をしなくてはいけないでしょう。

ヘルプ

2.1.1を使っているならすぐにアップグレードし,全てのファイルを,特に /wp-inclues/ 内にあるファイルを,確実に上書きしてください。友達のブログをチェックして 2.1.1 を使っているようなら忠告をしてください。そしてもし可能なら,アップグレードの支援や手伝いをしてあげてください。

ネットワークホストウェブホストやネットワークアドミニストレータ(ネットワーク管理者)なら “theme.php“ と “feed.php“ や “ix=“ や “iz=“ を含むようなクェリへのアクセスを禁止してください。ウェブホストのカスタマの方はウェブホストの管理者へ今回の緊急リリースと上記の情報を報告してください。

徹夜でこの問題を理解し,対処してくれた Ryan,Barry,Donncha,Mark,Michael そして Dougalへ感謝し,またこのトラブルを報告してくれた Ivan Fratric を一番の感謝を捧げます。またこの問題点を真っ先に報告してくれた Ivan Fratric に感謝します。

Q&A

通常にない,緊急リリースのため,メールでの質問や他の情報を提供用に専用のメールアドレス: 21securityfaq@wordpress.org を用意しました。提供された情報を元に今日中にこのエントリーをアップデートします。質問用メールアドレス 21securityfaq@wordpress.org を用意しました。また、このエントリーを常に更新してさらなる情報を追加します。

バージョン2.0.xはどう?

2.1.1以外のバージョンは変更されていません。もし,ダウンロードしたファイルがバージョン2.0系のものだったのなら問題はありません。

SVNでアップデートする場合はどうするの?

Subversioqn のレポジトリがタッチ(変更)された様子はありません。なので SVN 経由でアップデートしている場合はブログをアップデートしていたり管理していれば汚染された(クラックされた)ファイルをダウンロードすることはありません。