カテゴリー: web

　2020/6/10にWordPress5.4.2がリリースされた。これにはセキュリティ修正が含まれている。　修正 https://core.trac.wordpress.org/query?milestone=5.4.2&group=component&col=id&col=summary&col=milestone&col=owner&col=type&col=status&col=priority&order=priority

　このリリースにはセキュリティ修正のほかに強化も含んでいる。5.4系を使っているなら上げるほうがよいだろう。　5.2系は 5.2.7でとりあえずよいのか…。　5.2.6、5.2.7の修正内容は見えない感じです。

パッチはリリースしているのに、修正内容が分からないのはいまいちです..

　2020/4/29にWordPress5.4.1がリリースされました。これには7件のセキュリティ修正が含まれています。ただ相変わらず修正内容に関する情報公開がぬるい。修正のほかに強化項目も含まれているので何用のリリースなのか分かりにくい。

■5.4.1での修正内容は

　情報公開で、分かりにくいポイントはいくつかあるが、ぱっと見どれがセキュリティ修正かわからない。NVD、JVNには4/30時点では、まだ情報公開されていないようです。修正内容のほとんどはバグ作り込みが、WP5.4となっています。そして2件の修正対象のバグ作り込みバージョンは5.3となっています。 これはREST APIに関するものです。　この修正では、5.2以前のものはなさそうなので、 5.2系を使っているところは様子見でよさそう。

　REST APIの件がセキュリティ修正かどうかが気になる。　#49648はプロパティのアトリビュートが取れない問題、#49645も同様にREST APIを使ったシーンで情報が取れない問題だ。これは、セキュリティかどうかに関係なくアップデートしておいたほうがよさそうです。　アップデートするとなると気になるのは、5.4や5.4.1で強化された項目の残バグの状況です。　

■残留バグ、つぎの修正の予定は？

すでに5.4.2を作業中のようです。これも強化を含む修正で、5.1で作り込んだバグの修正も含みそうです。　

■それで、どうする？

5.4.1については、　5.3系には適用するのでよいでしょう。　5.2以前は5.4.2が出るのを待つので良いでしょう。5.2は5.2.6が自動適用されました。
それからNVDなどの情報もチェックしましょう。

■追記：5.2.6の内容は？

5.4.1の修正内容ではなく、5.4.2で作業中のテーマの更新を先行して出したようです。WordPressの修正一覧ではマイルストーン、バージョンともに5.2.6はまだ登録されていません。　修正内容もチェックしておきましょう。

　2019/12/13にWordPress5.3.1 セキュリティパッチがリリースされてから、セキュリティ修正はまだないが、5.4でどうなるかちょっとみてみた。　修正内容の管理も5.4もできている。

■5.4での修正内容は

　今時点で5.4がリリースされるような状況ではない感じがする。　最悪5.4はスキップして、5.5か　という感じさえする。というのは、#49685　など、マイルストーンを5.5としている。修正できたら5.4にセットしなおすのかもしれないが。。。

それから、5.3以前の作り込みバグの修正はなさそうです。いずれも5.4での問題の修正とされている。

■4/2追記：

5.4リリースされていました。
結構クローズされていない状態でリリースされているようだ。　修正内容の項目数は、先日みたときより４倍くらいに増えている。まだまだ修正中という感じですね。となると、5.4.1のリリースもすぐかもしれない。　それから、5.4での強化のいろづけが簡単にできるようになるのはよさそう。。。　でも、大きめの残バグがあるので、5.4へのバージョンアップは修正パッチが出てからにしよう。

・脆弱性

2020年もプラグインがらみの脆弱性が多数報告されている。　プラグインのほうもチェックしておかないと。。。

　WordPress5.3.1 セキュリティパッチが12/13にリリースされた。　同時に、5.2.5もリリースされたようだ。5.2.5についてはセキュリティパッチのページには掲載されていない。5.2.5が適用されたことは期待値どおりだが、5.2.5のことが情報公開されていない点がいまいちだ。修正内容の管理も5.3.1は情報があるが、5.2.5の情報がない。相変わらず管理が不十分な感じはぬぐえない。

■で、パッチ適用はどうする？

　手動でのパッチ適用は、5.3.1しかできないようだ。これは5.3.に誘導する策略なのかと違ってしまうが、、、。　まずは、テストサイトで5.3.1の検証を行う。そこで、問題が無ければ、ほかの本番系サイトにも適用していく流れにするしかなさそうだ。…..　　困ったものだ。

　WordPress5.3が11/12にリリースされたので、別に構築したWordPress検証サイトで動作確認しています。

■更新する際に留意しておきたい点

　WordPress5.3へコンテンツの更新を行った後に、DBの更新が行われる。DB構成が更新されていそうです。どこが更新されたのかは、ぱっと見ではわかりません。
　→　更新でトラブルが発生した場合、書き戻しするにはDBの書き戻しも必要となる。更新＆検証の際には、切り戻し時間にDB書き戻し時間も考慮しておく必要がある。当然だが、更新直前にDBデータのバックアップを行う時間も考慮しておく必要がある。

■WordPress5.3での変更点の確認

　エディタ機能が強化された。　　メニューに「ブロックのグループ化 」が追加されています。　
　全体的にはあまり大きな強化や変更はない。急いで更新したいというものはない。また、更新に関して、問題も特に問題はなかった。そのため、とりあえず5.3の適用は保留し、今後提供されると推測されるセキュリティパッチがで提供されたタイミングで更新することにする。