ラック
Home > CMS > 記事 > 2016年5月 > 画像処理関係の脆弱性まとめ

画像処理関係の脆弱性まとめ

カテゴリ: WordPress

きっかけはこれでした。

WordPress バージョン 4.5.1 およびそれ以前のバージョンは、WordPress がファイルアップロードのために使っているサードパーティライブラリである Plupload を通して SOME (Same Origin Method Execution) 脆弱性にさらされています。WordPress バージョン 4.2 から 4.5.1 は、MediaElement.js を利用して特別に作った URI を使う、反射型 XSS 攻撃に対する脆弱性があります。MediaElement.js は、メディアプレイヤー用のサードパーティライブラリです。MediaElement.js および Plupload は、いずれもこの問題を修正する更新をリリースしています 出典:日本語 « WordPress 4.5.2 セキュリティリリース

日本公式のこの記述を見たことによって、画像処理関連のライブラリには注意が向くようになっていました。

その上で、このGWにはこんなことがありました。

これら(CVE-2016-3714他)は、ImageMagick(参考:ImageMagick - Wikipedia)に関する脆弱性についての記事です。

そのため、上記のWP4.5.2のセキュリティリリース(Plupload、MediaElement.jsに対するパッチ)とは直接の関係は無いですが、画像処理周りのライブラリ繋がりということでアンテナに引っかかったのでした。

しかも、先の日本公式のブログでもこのImageMagickの脆弱性に対して触れられていますし。

さらに、広範に公開された ImageMagick 画像処理ライブラリの脆弱性も複数存在しています。このライブラリは、WordPress に対応した多くのホスティングサービスにおいて使われています。これらの問題に対する私達の現在の反応については、コア開発ブログのこの投稿をご覧ください。 出典:日本語 « WordPress 4.5.2 セキュリティリリース

こちらに対してもWPユーザの間で反応が見られたり。

こちらに関しては引用元のリンク先(英語記事)参照、ということでしょう。

多少の訳であれば参考リンクでも掲載されていますが、ちょっと静観な感でしょうか。

4月頭はjQuery絡みで狙われていましたし、セキュリティはきっちりしておきたいですね。

タグ: その他

 



関連する記事一覧