今回のリリースは6件のセキュリティ問題を修正した『セキュリティリリース』となります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の昨日、『WordPress』の更新版『WordPress 5.2.4』が公開されました。

今日はそのニュースをお伝えします。

WordPress 5.2.4セキュリティアップデート

さて、今回のリリースは『WordPress 5.2.3以前のバージョン』で影響を受けるとされる『セキュリティリリース』となります。

『すぐにサイトを更新することを強くお勧めします』といったコメントは特別ありませんでしたがアップデートすることが無難でしょう。

以下、アップデートの内容です。

・格納型XSS(クロスサイトスクリプティング)がカスタマイザー経由で追加される可能性の問題が発見された件の修正

・認証されていない投稿を表示する方法が見つかった件の修正

・JavaScriptをスタイルタグに挿入する格納型XSSの作成方法が発見された件の修正

・Vary: Origin ヘッダーを介して JSON GETリクエストのキャッシュをポイズニングする方法が見つかった件の修正

・URLの検証方法でサーバーサイドリクエストフォージェリが発見された件の修正

・管理画面のリファラーバリデーションに関連する問題を発見された件の修正

以上のようになっています。

いつもの通り、早めの段階で『WordPress 5.2.4』へアップデートされることがお勧めです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日の記事に続き、今日は実際の処理設定方法に関してお話しします。

添付ファイル付きメールへの処理方法

まず、メールのヘッダー情報には以下のものがあります。

・添付ファイルのないテキスト形式の場合、『Content-Type: text/plain』

・添付ファイル付きのメールの場合、『Content-Type: multipart/mixed』

そして、例えばzipファイルが添付されたメールにはボディ部分のソースに以下のものがあります。

Content-Type: application/x-zip-compressed（zip or x-compress or その他）

Content-Disposition: attachment（attachmentは添付ファイルのこと）

filename=”〇〇”

これらを使い、添付ファイル付きのメールをフィルタリングしてあげます。

例えば、添付ファイルの種類によってり条件指定する場合には、

『Content-Type: application/x-zip-compressed（zip or x-compress or その他）』や、『Content-Type: application/msexcel（vnd.ms-excel or その他）』

などを使い、

ファイルの種類で指定しない場合には、

『Content-Type: multipart/mixed』や『Content-Disposition: attachment』

などを使うことによってフィルタリングが可能です。

特定のファイル名のものを指定する場合には『filename=”〇〇”』を使えば良いです。

ただし、これが可能なのはメールサーバのフィルタリング編集が可能な場合に限っての話しになりますが、そもそもメールサーバにてウイルスメールの駆除や隔離が行えているということであれば、この話しは念のための措置ということになります。

追伸：昨日『専用アカウントに転送してしまう』ということを書いたのは、取引先などとのやりとりにおいてすべてを削除してしまうわけにはいかない場合、単なるフォルダ分けですと端末（クライアントパソコン）に受信することにもなるため、『専用アカウント』に転送し、転送されたメールはウェブメールなどにて慎重に確認の上、必要なものだけを取り出すという意味で書いたわけです。