WordPress 4.9.7がリリースされました。メンテナンスリリースとなっており、脆弱性対応のため即時アップデートを強く推奨されています。
【セキュリティ ニュース】セキュリティ更新「WordPress 4.9.7」がリリース – 即時アップデートを強く推奨(1ページ目 / 全1ページ):Security NEXT
WordPress 4.9.7 Security and Maintenance Release
今回の内容は以前から報告があった脆弱性に対応したアップデートがメインのようです。その脆弱性というのは、画像をアップロード・編集等できる権限をもっていればサイトを破壊できる、という恐ろしいものでした。
実は4.9.7リリース数日前にGIGAZINEで情報が公開され、これはマズイんじゃないかと思っていました。
必要な権限を手に入れた攻撃者は、フォルダへのアクセス制限を司る「.htaccess」や、フォルダ内のファイルリスト表示を防ぐ「index.php」ファイル、WordPressをインストール済みであることを示す「wp-config.php」などを削除することが可能になります。特に最後の「wp-config.php」にはデータベースの認証情報が含まれるので、削除されると、次にウェブサイトを訪問したときにまるでWordPressがまだインストールされていないかのような動作となり、WordPressの再インストールが行われます。
WordPressでメディアファイル編集時にサーバー上の任意のファイルを削除可能な脆弱性、バージョン4.9.6でも未修正 – GIGAZINE
画像の編集権限のアカウントだったとしても、WordPressのデータベース情報などが記載してある超重要なwp-config.phpファイルを削除でき、削除後は該当ファイルがなくなっているためサイトのインストール画面になり勝手にWordPressサイトをインストールできてしまうと。・・・考えただけでゾッとしますね。
WordPressのセキュリティチーム「Hackerone」によると、2017年の11月20日の時点で報告していたようです。また、その間何回もリリース日を確認していたが返事がなかったと。うーんこれはあまりよろしくない対応ですね。
返事がないため今回の情報公開に踏み切ったわけで、結果各メディアで紹介され、流石にWordPressもヤバいと思ったのか今回のアップデートにつながったとみて間違いないかと思います。
報告元であるオリジナル記事では実際にメディア画面からwp-config.phpファイルを削除する流れが動画で紹介されています。以下から読めますので、興味のある方はどうぞ。
WARNING: WordPress File Delete to Code Execution
権限を昇格する必要もあり、事前にアカウントを乗っ取ったりしてログインできる前提ではありますが、このような方法で簡単にサイトがなくなってしまうという参考として覚えておくといいのかなと思います。
