WordPress 2.6.2リリース

WordPress 2.6.2がリリースされた。今回のリリースは、ユーザー登録を自由にさせている場合には至急アップグレードが必要とのことだ。WordPress 2.6.2のダウンロードはこちらから。なお、日本語版もすぐに出ると思うが執筆時点ではまだ出てない。日本語版もダウンロード可能となっている。

今回のリリースには、Stefan Esserさんが発見したPHPのmt_rand()の脆弱性が関係しているようだ。WordPress 2.6.1では、ユーザー登録が可能だと、ほかのユーザーのパスワードをランダムに生成されたパスワードにリセットするユーザーネームを作成しやすくなる。ランダムに生成されたパスワードはアタッカーには公開されないが、 mt_rand()の脆弱性のために、パスワードが予測されるかもしれない、ということだ。アタックは容易ではないようだが、WordPress 2.6.2へのアップグレードは行うべきだろう。

SuhosinというPHPのセキュリティパッチの最新版を当てている場合は守られるとのことだが、それでもユーザー登録を可能にしている場合はWordPress 2.6.2にアップグレードした方がいいだろう。

WordPress 2.6.2は上記に加えて若干のバグフィックスが行われているようだ。ユーザー登録をオープンにしている方は至急更新した方がいいだろう。

このエントリをはてなブックマークに追加このエントリをdel.icio.usに追加このエントリをLivedoor Clipに追加このエントリをYahoo!ブックマークに追加このエントリをFC2ブックマークに追加このエントリをNifty Clipに追加このエントリをPOOKMARK. Airlinesに追加このエントリをBuzzurl(バザール)に追加このエントリをChoixに追加このエントリをnewsingに追加

«
»