インフラセキュリティの処方箋

第31回 2017年2月~Wordpress脆弱性とMicrosoftアップデート2月繰り延べの件

この記事を読むのに必要な時間:およそ 1 分

この2月は,セキュリティ的に見ても非常に脅威となる事象がいくつも見られました。

今回はその中から,Wordpress脆弱性と,2017年2月のMicrosoftの定例アップデートが中止になった件を取り上げます。

REST APIの不具合により,Wordpressのコンテンツが容易に改ざんされる脆弱性

本件は,2017年1月に修正されたWordpressの脆弱性に係る話なのですが,この脆弱性,2月になって公開された概要がかなり強烈なものでした。

この脆弱性は,Wordpress 4.7で標準搭載されたREST APIにあります。

REST API自体はこれまでもプラグインで準備されていましたが,標準搭載されたREST APIに不具合があり,改ざんを可能とする脆弱性につながったというわけです。

そしてこの脆弱性の困ったところは,⁠認証なく」⁠既存のコンテンツを改ざんできる」というところにあります。

これだけ容易な改ざんを,攻撃者がほうっておくわけがなく,実際に多数の改ざんが発生しています。

 

現時点でも,相当数のサイトが古いWordpressで動作しているという情報もあります。対策は(今更書くのもどうかと思うのですが)Wordpress自体のバージョンアップです。

自身のサイトがどのバージョンで動作しているか?を把握の上,必要なアップデートは適宜適用してください。

2017年2月のMicrosoftの定例アップデートが中止~一部の緊急アップデート以外は3月に持ち越し

2017年2月のMicrosoftの定例アップデートですが,多くの利用者に対する影響を考慮して,3月のアップデートでまとめて対応するという決定を行いました。

Microsoftからのアップデートを適用した後に,システムに不具合が発生するということはたまにありましたが,今回の定例アップデートは見送られました。

ただし,Adobe Flash Playerのセキュリティ更新プログラムは,脆弱性を突かれる危険性が高いからか,定例外になったものの公開しています。これが,⁠少し公開が遅くはなりましたが)一部の緊急アップデートに相当します。

2月14日に,Microsoftの定例アップデートで配信される以外の更新は,Adobeから公開されています。このアップデート内容を解析して攻撃コードを作成する懸念もあることから,定例外ではあるもののAdobe Flashの更新を公開したのは,良い判断と言えます。

著者プロフィール

宮本久仁男(みやもとくにお)

某SIerに勤務する,どこにでもいる技術者。

OSやネットワーク技術に興味を持ち,その延長でセキュリティ技術にも興味を持って,いろんな調査や研究を手がけてます。

自分で思考を巡らしたり検証したり,というのももちろん好きで,あれこれやってます。もちろん他の人に迷惑はかけない範囲で……ですが。

博士(情報学),技術士(情報工学)。

URL:http://d.hatena.ne.jp/wakatono/

監訳書の1つ:実践Metasploit

コメント

コメントの記入