WordPress 2.6.2がリリースされた。今回のリリースは、ユーザー登録を自由にさせている場合には至急アップグレードが必要とのことだ。WordPress 2.6.2のダウンロードはこちらから。なお、日本語版もすぐに出ると思うが執筆時点ではまだ出てない。日本語版もダウンロード可能となっている。
今回のリリースには、Stefan Esserさんが発見したPHPのmt_rand()の脆弱性が関係しているようだ。WordPress 2.6.1では、ユーザー登録が可能だと、ほかのユーザーのパスワードをランダムに生成されたパスワードにリセットするユーザーネームを作成しやすくなる。ランダムに生成されたパスワードはアタッカーには公開されないが、 mt_rand()の脆弱性のために、パスワードが予測されるかもしれない、ということだ。アタックは容易ではないようだが、WordPress 2.6.2へのアップグレードは行うべきだろう。
SuhosinというPHPのセキュリティパッチの最新版を当てている場合は守られるとのことだが、それでもユーザー登録を可能にしている場合はWordPress 2.6.2にアップグレードした方がいいだろう。
WordPress 2.6.2は上記に加えて若干のバグフィックスが行われているようだ。ユーザー登録をオープンにしている方は至急更新した方がいいだろう。