カテゴリー
everyday life

関係ないと思っていたんだが, Apache Struts の脆弱性。

投稿アップデート情報  追記(4/28) ~ 追記8(2017/9/6)

 関係ないと思っていたんだが,大いに関係あるらしいワ, Apache Struts の脆弱性!! 発端は,「Struts 2」でって話だったんだが,「Struts 1」にも同様の脆弱性があるらしいという話になった。

 そんでもって,なんと,[「e-Taxソフト(WEB版)」、「確定申告書等作成コーナー」、「NISA(日本版ISA)コーナー」 サービス停止のお知らせ(重要)平成26年4月25日(4月30日,復旧のお知らせがリリースされ,サービス停止のお知らせは消えた。アーカイブ版として,うちに保存していた分にリンクを貼っておく。こんなのだった。)]は,「Struts 1」を使っていたせいなんだと。私も利用させてもらってるよと,「確定申告,済みました?」に書いた「確定申告書等作成コーナー」もしっかり含まれている。使っていた当時は,問題なかったのでありましょうか?そう思いたい。提出のため国税庁に送信,ってことをしなければ,大丈夫なんだろか。どっかにわが経済事情が飛んでってないよね,もしもし,国税庁様っ!!

 まあ,「Struts」の今回の脆弱性は,「Struts 2」にもあるから,どうしようもないが,天下の国家機関がいつまでもサポートが終わってるもんを使うなよなぁ。せめて,こういう事態が発生したら,すぐに「Struts 2」に切り替えられる地点には達しておいてほしいよなぁ。とはいえ,前記のごとく,今回は「Struts 2」にしても問題は全く解決しない。

 「Struts」の件,本当にどうなるのかネ。「Struts」って,種類としては,Webアプリケーションフレームワークってことらしいが,外部からではインストールされているかどうかの診断は,なかなか難しいらしいことを読んだ。デフォルトでのインストールの場合,strutsって名前のディレクトリなりファイルなりができるようだから,サーバ内をローカルで調べてみるといいらしいよ。でもって,見つかった場合は,どうするかっていうと,こんなところ

 出来るもんなら,関連サービス停止してアンインストしてしまったほうがいいんだろうが……。

追記(4/28):
 出ましたよ。 S2-021Struts 2.3.16.2 へ,緊急にアップグレードしてくれになっている。といいつつ,同ページに,一応,それができない場合の回避策も,書かれているけど。

 しかしなあ,今度は大丈夫かね。前回も, S2-020 の直後に, exploit が出回ったみたいだからなあ。

 それと,「Struts 1」についてはどうなるんだろ。きっちりしたサポートのあるメーカーのミドルウェアとして使っている場合以外,自分で exploit に対応できる実力がないなら,サクッと使用をあきらめたほうがいいかもよ。

追記2(5/7):
 えっと,さらに S2-022 が出た。もぐらたたき状態になってるように感じるが……

追記3(2016/4/28):
 アクセス数は正直だねぇ。 Apache Struts 2 の脆弱性 (S2-032) に関する注意喚起が出たら,ピンと跳ね上がりましてん。でも, DMI(Dynamic Method Invocation) って,今どき,デフォでオフでないの?って思ったけど,本記事を書いたときも,古いの使っているところが多くて驚いたからなぁ。今回もいっぱいあるんだろ。ありがたくないワァ!!

追記4(2017/3/14):

 昨年末より,さぼり気味の我がブログ。この件もうっちゃらかしにしてたんだが,アクセスログを見ると,この古い記事に結構あちらこちらから訪問者がいらっしゃる。で,本日重い腰を上げてこの追記。まぁ, twitter ではつぶやきもしたんですがね。こんなの☟。

 今回の脆弱性は, CVE-2017-5638 というやつで, Apache Struts 2 の Jakarta マルチパートパーサーに元があるらしい。したがってマルチパートパーサーとして Jakarta は無効になってて,別のを使っているよということなら,回避できてることになる。
 あるいはすでに Fix 済みの新バージョンが出ているので,それにアップデートする。 2.3 系なら 2.3.32 に, 2.5 系なら 2.5.10.1 に更新すればよいということらしい。

 最近は,新しいのが出たら早いとこ更新したほうが身のためですよ。例の WordPress 4.7.2 の件もあったし。

追記5(3/17):
 「JakartaStreamMultiPartRequest についても、本脆弱性の影響を受け、攻撃が 実行可能な場合があるとの情報を受け取りました。」だそうです。
情報 URL: Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起

追記6(3/21):
 S2-046PoC が GitHub に出てます。

追記7(3/24):
 Apache Struts 2 Exploit Analysis の記事を見たので,それも含めて,ツイートをリンク。

追記8(9/6):
 また出てましたね。「Apache Struts 2」に深刻な脆弱性の話。主として S2-052 の話で CVE-2017-9805 の関連ですね。

カテゴリー
everyday life

お山の石楠花 (2014)。

The same article in English

 昨日も大変にいい天気だったので,友人とシャクナゲを見に,英彦山花園を訪ねてきた。昨年より,少し遅めで,その分,花も咲きそろっていた。

 今年,初めてのトカゲを見た。ヘビよりはずっと素直にかわいいと思える(爆)。いつも通り,奉幣殿にお参りをし,お御籤をゲット。

 では,毎度ながら,お写真をば!!

図1 シャクナゲとヤマブキ
図1 シャクナゲとヤマブキ
図2 シャクナゲ
図2 シャクナゲ
図3 クマバチ仕事中
図3 クマバチ仕事中
図4 プリムラ
図4 プリムラ
図5 春紅葉
図5 春紅葉
図6 ツバキ
図6 ツバキ
図7 八重桜
図7 八重桜
図8 ニホントカゲ
図8 ニホントカゲ
図9 モクレン
図9 モクレン
図10 三の鳥居
図10 三の鳥居
図11 春紅葉に染まる山
図11 春紅葉に染まる山
図12 ドウダンツツジ
図12 ドウダンツツジ
カテゴリー
Vulnerability

Web-based DNS Randomness Test。

 「(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNSサーバーの設定再確認について」について記事を書いたときに, Web-based DNS Randomness Test についてギャンギャン言って,ギャンギャンいうだけじゃあまりにも無責任なので,サイトのアドミンにメールしてみたのだが,その返事が今日来た。

Hello!

Thank you for your note. The problem as you show is with the main website, but this isn’t replicated across the various websites that we have, including the DNS Randomness test, since that uses another website server with different versions of software. But in any case, I do really want to replace the certificate at least, besides updating a very old system that supports www.dns-oarc.net. Again thank you, we are working on this.

ということなので,私が送ったテスト結果はメインのサーバに関してのものだが,「DNS Randomness test は別の Web サーバでかつ別のバージョンのソフトで動いているから大丈夫ですよ」という返事だ。さらに,少なくとも証明書は置き換え,メインの www.dns-oarc.net が乗っかっているシステムも新しくするつもりだと付け加えてある。

 ということだと, Web-based DNS Randomness Test は,一応,大丈夫ということになるのかなと思うのだが,この返事を読んで別のことが心配になってしまった。彼が書いてきたことが本当だとすると, Heartbleed testHeartBleed Bug が,どういうチェックの仕方をしてくれているのかということだ。

 私のドメインで動いている Web サーバはたった1台の PC だが,通常は複数であるほうが当たり前だ。だから,当然,そのドメインでつながっているサーバをすべて調べて,1台でも変なのがあれば,警告を出してくれてるんだと思いたい。まさか,てっぺんに立っている代表だけを調べてるわけじゃないよな。

カテゴリー
everyday life

すっかり,葉桜。

The same article in English
投稿アップデート情報  追記(4/21)  追記2(4/22)

すっかり,葉桜
すっかり,葉桜
 3月26日に,「開花宣言。」というのを書いたのだが,本日,英語ブログのほうで,「庭のお花がきれいですね」というコメントをもらって,そういえば,すっかり葉桜だなあと,カメラに納めてきた。桜花と違い桜葉は1枚では何とも寂しいので,右のような画像と相成った。
 
 今回は,庭のほかの花たちのみならず果実たちも,表にて,お供させておきます(爆)。

図1 チョウセンヤマツツジ
図1 チョウセンヤマツツジ
図2 チョウセンヤマツツジ
図2 チョウセンヤマツツジ
図3 エゾヤマツツジ
図3 エゾヤマツツジ
図4 イキシア
図4 イキシア
図5 アイリス?
図5 アイリス?
図6 ヒナゲシ
図6 ヒナゲシ
図7 ムスカリ
図7 ムスカリ
図8 オオマツユキソウ(スズランズイセン)
図8 オオマツユキソウ(スズランズイセン)
図9 シャガ
図9 シャガ
図10 セイヨウオダマキ
図10 セイヨウオダマキ
図11 杏
図11 杏
図12 梅
図12 梅

追記(4/21):
 図7 の名称,ムスカリ。図8の名称,オオマツユキソウ(スズランズイセン)。
 FHさんに教えていただきました。FHさん,ありがとうございました。

追記2(4/22):
 図10は,葉を見ましたら,セイヨウオダマキでした。育ちが悪くて,花がチョー情けなくて,花の苦手な私には,全くの別物に見えました(汗)。

カテゴリー
WordPress

ただいま日本語版待ち,WordPress 3.9。

The same article in English
投稿アップデート情報  追記  追記2(6/22)

 WordPress 3.9 が出た。ただし,我が家は,日本語版待ち。皆さんはいかがですか。

追記:
 さっき,20:20ごろ, WordPress 3.9 日本語版にアップグレードした。機能は,特に問題なく働いているのだが, 3.8.3 のとき同様,またもや Warning! Problem updating https://SITENAME. Your server may not be able to connect to sites running on it. Error message: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure が出た。なんでだろう。少し,真剣に調べてみないといけないかな。

 WordPress 3.9 関係の資料。 Codex(日本語), Blog(日本語), Changelog.

追記2(6/22):
 WordPressでの「SSL3_READ_BYTES:sslv3 alert handshake failure」を解決というのを書いた。

カテゴリー
Vulnerability

(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNSサーバーの設定再確認について。

投稿アップデート情報  追記  追記2(4/16)  追記3(4/16)  追記4(4/19)

 JPRS 様のおっしゃるところによれば,「(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNS サーバーの設定再確認について」なんだそうで,ございまする。

 DNS サーバーの設定についてのナンチャラカンチャラは,去年もイッパイあったが,先日の CVE-2014-0160 と手に手を取って,パーティやるっち,考えるだに恐ろしい。

 Web-based DNS Randomness Test てのがあるみたいなんだが。何の脈絡もなく,フッと,そのサーバ www.dns-oarc.net を Heartbleed test でチェックしてみたんよ。ほしたら, VULNERABLE かつ Please take immediate action! になったよぉ。えーーーっ。

 この世は,どうなっとんじゃ。

追記:
 テスト結果が 100% 正しいと言えないのは,百も承知だが, heartbleed test でのテストでも, www.dns-oarc.net は Server is vulnerable to all attacks tested, please upgrade software ASAP. という結果になった。どうすんのー?

追記2(4/16):
 www.dns-oarc.net で, DNS Randomness チェックするときにさ,何にも入力するわけではない。だから,個人情報なんかを抜かれるとは思わないが,しかし,これだけ HeartBleed Bug について大騒ぎしてるのに,こういうたぐいのサイトのアドミンが今まで対処していないことに,ガックリ来て,信頼できなくなっちまうわけよ。カミンスキー祭りなんかあって,みーんなが www.dns-oarc.net でチェックしたりすると,このサイトの脆弱性が巡り巡ってどこに影響するかわからないのが,ネットの世界だからなぁ。
 このガックリは,先のスラドのリンク先で見た,「なぜ Theo de Raadt は IETF に激怒しているのか」の Theo de RaadtIETF への怒りにも通じるところがあるような気がする。
 こーんだけ, HeartBleed Bug で大騒ぎしている最中に,警告を出した JPRS がその警告ページに www.dns-oarc.net へのリンクを貼るなら,直接関係はないにしても, HeartBleed Bug の対応が済んでるかくらい,チェックしてから貼んなよということだ。

 しかし,この件はどこにコンタクトをとったらいいんだろう。 admin at dns-oarc.net にメールしてみるかな。

追記3(4/16):
 「強烈なDNSキャッシュポイズニング手法が公開される」。
 「もうなんか,ついていけない」って,素人のつぶやき。上記のページやその中のリンクを見に行くと,どうすりゃいいんだという気になる。難しすぎてよくわからないところも多いが,一般の人も多大な影響を受けるということはよくわかる(出るのは溜息ばかり)。

追記4(4/19):
 上の追記2についてだが,今日,

Hello!

Thank you for your note. The problem as you show is with the main website, but this isn’t replicated across the various websites that we have, including the DNS Randomness test, since that uses another website server with different versions of software. But in any case, I do really want to replace the certificate at least, besides updating a very old system that supports www.dns-oarc.net. Again thank you, we are working on this.

という返事をもらった。私が送ったテスト結果は,「メインのサーバに関してのものだが, DNS Randomness test は別の Web サーバでかつ別のバージョンのソフトで動いているから大丈夫ですよ」という返事だ。さらに,少なくとも証明書は置き換え,メインの www.dns-oarc.net が乗っかっているシステムも新しくするつもりだと付け加えてある。

 ということなんだけどさ。だから, DNS Randomness test については,それなりに大丈夫ということになるのかな。

カテゴリー
WordPress

引き続きまして,WordPress 3.8.3。

The same article in English
投稿アップデート情報  追記  追記2(6/22)

 えーっと,先日,くりくりさんへのコメントで,「マイナーアップデートは自動に任せていい」と書いたばかりなのだが,今回みたいに,ローカライズ関係のファイルが入ってるのに,自動でアップデートされるとまずいかもしれない。

 今回のアップデートファイルには,

wp-admin/includes/upgrade.php
wp-admin/includes/post.php
wp-admin/about.php
wp-includes/version.php
readme.html

と, version.php が入っているが,実は, version.php には, $wp_local_package がある。自動アップデートで,ここがなくなると,不具合が起こる可能性もある。日本語版が出る前に自動アップデートされてしまった場合は, version.php を開けて最終行に
     $wp_local_package = ‘ja’;
を追記してやろう。

 ところで, Oiram回避策を使っているにもかかわらず,今回また,
Warning! Problem updating https://SITENAME. Your server may not be able to connect to sites running on it.
が出ている。ただ,エラーメッセージは前と違い, Error message: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure なんだが,どうしたら直るのか,まだわからない。でもって,今回もエラーは一つのサイトについてだけなんだ。そのサイトは,前と同じ。なんでなんだろう?

追記:
 うーん,「朝起きたら,WordPress 3.8.2 だった。」で書いていることと,矛盾してるな(苦)。 3.8.2 の version.php には $wp_local_package = ‘ja’; が入っていなかったけど,何の問題もなかった(アワワワ)。困ったちゃんねぇ(⇒私)。

追記2(6/22):
 WordPressでの「SSL3_READ_BYTES:sslv3 alert handshake failure」を解決というのを書いた。

カテゴリー
Windows

本家のお世話-#100。(MariaDB10へアップグレード)

The same article in English
投稿アップデート情報  追記(6/30)

 3月31日に, MariaDB10 初の正式版が出たので,本日,自鯖上 (Windows7HP+SP1(x86)) の MariaDB を 10 にアップグレードしてみた。アップグレードなんだが,元が MariaDB5.5 なので,手順は前回のアップデートと変わらない。

 何はともあれ,バックアップ。特に, MariaDB と MyDB

 で,アップグレード。

  1. mariadb-10.0.10-win32.zip をダウンロード。
  2. Zip を展開。
  3. コントロールパネル >> 管理ツール >> サービス
    と行って, MyDB のサービスを停止。
  4. MariaDB の中身をすべて削除。その後, bin,include,lib,share の4つとライセンス関係のファイルを MariaDB の中にコピーする。
  5. コントロールパネル >> 管理ツール >> サービス
    と行って, MyDB のサービスを開始。

 以上。

追記(6/30):
 書き忘れていたが,アップグレード後,エラーログを見たら “Please use mysql_upgrade to fix this error.” が出ていると思うので, mysql_upgrade やること。

カテゴリー
everyday life

CVE-2014-0160関連で調べてみた。

投稿アップデート情報  追記(4/11)  追記2(4/16)  追記3(4/22)  追記4(5/13)

 通常取引のある https 関係を Heartbleed test で調べてみた。
  All good, yourCheck.domain seems fixed or unaffected!
と出れば,一応OKという扱いで。 100% の保証はないし,対処がいつだったかもわからないし,証明書関係を作り直しているかどうかもわからないし。と,いろいろ問題はあるが,本日,私が使った銀行,電話,ホスティング関係は,みんな「All good, yourCheck.domain seems fixed or unaffected!」が出た。とはいっても,いつから fixed or unaffected なのかはわからないから,心配は尽きない。 SSL のバージョンが古ければ逆に大丈夫なのだが,その辺は,一般人には調べようがない。

 それから, FFFTP についてなのだが,川本優さん(@s_kawamoto)のツイートで「脆弱性対応済みのFFFTP新バージョンを公開するにはまだしばらく時間がかかるため、可能であれば直ちにFileZilla(OpenSSLではなくGnuTLSによる実装)への移行をおすすめします」ということだったが,一応,暫定版は出ている。

 ものすごく,基本的なことがわかっていない自分に驚きなんだが, SSL 証明書の中には,もちろん, OpenSSL ベースじゃないものもあるわけで,どこの SSL 証明書が何を使っているかというのは,一般消費者側で確認可能なのだろうか。

追記(4/11):
 考えたら,証明書の期限は簡単に調べられるよね。現時点のわが取引先銀行,電話,ホスティング関係の期限をチェックしてみた。
  銀行  2013/06/04 – 2014/08/02
  電話  2013/11/12 – 2015/12/04
  ホスティング  2013/04/05 – 2016/06/04
 で,これは,どうなんだろう。正式の認証局が再発行する場合,新しくなっても期限は変わらないものですか。それとも,期限が上記の場合は,古いままだと思っていいんですかね。常識的に考えると,発行日は新しくなるべきだと思うんですが。もっとも,もともと OpenSSL での実装でない可能性も大きいわけだが……

 OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見されるの皆の書き込みが,興味深い。クライアントの PC の ssleay32.dll も関係あるんだろうか。

追記2(4/16):
 脆弱性確認サイトのメッセージだけれども, heartbleed test のほうは,こんな感じ。
—– NG の場合 —————————————————————————————-
Looking for TLS extensions on https://YourCheckSite

ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check. Actively checking if CVE-2014-0160 works: Server is vulnerable to all attacks tested, please upgrade software ASAP. ----- Heartbeat の有効/無効の確認後, CVE-2014-0160 に対する脆弱性の判定,警告。----- ----- OK の場合 1 -------------------------------------------------------------------------------------- Looking for TLS extensions on https://YourCheckSite TLS extension 15 (heartbeat) seems disabled, so your server is probably unaffected. ----- Heartbeat の機能が無効なので,多分,大丈夫だろうという判定。--------------------- ----- OK の場合 2 -------------------------------------------------------------------------------------- Looking for TLS extensions on https://YourCheckSite ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check. Actively checking if CVE-2014-0160 works: Your server appears to be patched against this bug. Checking your certificate Certificate has been reissued since the 0day. Good. <-- Have you changed the passwords? ----- Heartbeat は有効だが,パッチ済の判定。証明書も再発行済,パスワードは変えた?の確認。---- でもって, Heartbleed test のほうは,こんな感じ。
—– NG の場合—————————————————————————————–
YourCheckSite IS VULNERABLE.

Here is some data we pulled from the server memory:
(we put YELLOW SUBMARINE there, and it should not have come back)

([]uint8) {
00000000 02 00 51 68 65 61 72 74 62 6C 65 65 64 2E 66 69 |..Qheartbleed.fi|
00000010 6C 69 70 70 6F 2E 69 6F 20 59 45 4C 4C 4F 57 20 |lippo.io YELLOW |
00000020 53 55 42 4D 41 52 49 4E 45 20 59 6F 75 72 43 68 |SUBMARINE YourCh|
00000030 65 63 6B 53 69 74 65 3A 34 34 33 F7 96 BF F3 35 |eckSite:443....5|
00000040 87 38 54 6A 02 66 02 4E AF 02 B5 1A 32 A6 61 08 |.8Tj.f.N....2.a.|
00000050 2C CF 2E 0C 4C F3 B7 92 C0 86 E7 86 B0 94 88 A7 |,...L...........|
00000060 0A |.|
}

Please take immediate action!
—– 脆弱性あり。当該サーバメモリから filippo.io が置いたデータを引き出し可能。これは,まずい。—–

—– OK の場合 ————————————————————————————–
All good, YourCheckSite fixed or unaffected!
—– チェック結果は全部 OK だったので,多分,大丈夫だろうという判定。——————————————–

追記3(4/22):
 昨日付で,「国内でもOpenSSL「心臓出血」が悪用、三菱UFJニコスから894人の情報流出か」が出てた。三菱UFJニコス自体のニュースとしては,12日18日の発表である。私のカードも関連があるので気になったのだが,今のところは,大丈夫そう。

今回問題になっているheartbeat機能によるやり取りは、通常、Webサーバーのログには残らない。このため、悪用した攻撃を受けているかどうかが分からないことが、今回の脆弱性の特徴の一つ。三菱UFJニコスでは、今回の攻撃は「心臓出血」脆弱性を悪用したものであることを特定したとしているが、特定した方法についてはコメントできないとしている。

 ITpro の記事内に上記の引用の表現があるのだが,特定の手段があるなら,教えてほしいもんだよな。公表しても,一般ピーポーにはつかえない特別なシステムがいるのだろうか。または,知られたらすぐに対策されちまうレベルの方法とか???

追記4(5/13):
 まだまだ,後を引きそうだねぇ。セキュリティホールmemoさんも,昨日スマホに関しての追記を書かれていた。

 The list of Android phones vulnerable to Heartbleed bug というのもあったんだが,日本語サイトでは,あまり一覧というのがない気がする。 GALAXY のサイトなんかでも,更新ファイルはあるがその辺の情報にはそれほど触れていない。更新開始日が,4/17とかになってるから間違いなく, HeartBleed 関連だと思うんだけどな。もっとも,スマホ利用の一般ユーザにとっては,スマホ本体にどれだけはっきり,この手の要アップデート情報が届くかのほうが,大事だろう。自分がいまだにスマホを使っていないので,その辺がどうなっているのか不明。身近の Amdroid 使いはあまり何も言っていないけどな。実際のとこ,どうなんだろう。

 Google App としては,だいぶ前から, Heartbleed Detector があるが,本人が調べる気になるかどうかが問題だからなぁ。

 再度, PC でのチェックサイトを掲載しておく。
     Heartbleed test
     heartbleed test
     Trend Micro Heartbleed Detector (無くなっちゃったみたいだ)

カテゴリー
WordPress

朝起きたら,WordPress 3.8.2 だった。

The same article in English
投稿アップデート情報  追記(4/10)  追記2(4/15)

 朝起きたら,WordPress 3.8.2 だった。て,言うか,もちろん,ログインしてみたらという話だが。

 夕べ, SSL 関係を作り直して, ca-bundle.crt に改めて Oiram回避策を施したところだったので,アップデートがどうなるか気になっていたのだが,大丈夫だった。ホッ。

追記(4/10):
 今回のマイナーアップデート対象ファイルは,以下の15個。言語関係は含まれていない。本日の検索ワードに「wordpress 3.8.2 日本語化」があったので,蛇足ながら,追記。

readme.html
wp-admin/about.php
wp-admin/includes/class-wp-posts-list-table.php
wp-admin/includes/class-wp-upgrader.php
wp-admin/includes/post.php
wp-admin/includes/update-core.php
wp-admin/themes.php
wp-includes/bookmark.php
wp-includes/class-wp-xmlrpc-server.php
wp-includes/js/pluploadplupload.silverlight.xap
wp-includes/pluggable.php
wp-includes/post-template.php
wp-includes/query.php
wp-includes/update.php
wp-includes/version.php

 つまり, wordpress 3.8.1 + 上記15ファイルで問題ないから,マイナーアップデートは自動で十分,と思う。

追記2(4/15):
 うーん,「引き続きまして,WordPress 3.8.3。」で書いていることと,矛盾してるな(苦)。 version.php には $wp_local_package = ‘ja’; が入っていなかったけど,何の問題もなかった(アワワワ)。困ったちゃんねぇ(⇒私)。