- 2018年3月7日
- WordPress脆弱性情報
WordPress 4.9.4以下にDoS攻撃に対する脆弱性
毎度毎度、WordPressには脆弱性が発見されるので、「またか」と思われるかもしれませんが、まあ黙ってアップデートしろ、という感じです。(※今回発見されたこの脆弱性に関しましては、アップデートで修正されません。詳細についてはこちら)
JVNがWordPressへの脆弱性を報告しています。
WordPress におけるサービス運用妨害 (DoS) の脆弱性
概要WordPress には、サービス運用妨害 (リソース消費) 状態にされる脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)CVSS v3 による深刻度
基本値: 7.5 (重要) [NVD値]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
攻撃に必要な特権レベル: 不要
利用者の関与: 不要
影響の想定範囲: 変更なし
機密性への影響(C): なし
完全性への影響(I): なし
可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
攻撃前の認証要否: 不要
機密性への影響(C): なし
完全性への影響(I): なし
可用性への影響(A): 部分的
DoS攻撃、というのは要するにサーバーに色々と送りつけて、サーバをダウンさせる、と言う攻撃なのです。
これにはいろいろな亜流がありまして、私が先日見た中で面白かったのは、TwitterクライアントへのDoS攻撃の話です。
あまりにムカつくTweetを見たため、あるハッカーが、Tweet主のアカウントに大量(数千通)のダイレクトメッセージを送りつけるプログラムを書き、主にメッセージを送りつけました。
結果、Tweet主は、クライアントを立ち上げた瞬間、大量のダイレクトメッセージがダウンロードされ、スマホが処理しきれず、クライアントが落ちてTwitterが使えなくなる、という仕組みだそうです。
まあ、そんな余談はさておき、WordPressのアップデート、毎度怖いですよね。
プラグインも大量に使っていたり、カスタマイズを入れていると、アップデートもおちおちできません。
そういうサイトにしたお前が悪い、と言われればそれまでなのですが、なんとかならないもんでしょうか。