以下は、2008 年 9 月 8 日に書かれた WordPress.org 公式ブログの記事、「WordPress 2.6.2」を訳したものです(日本語版のリリースはしばらくお待ちください)。以下のリンク先はすべて英語のページとなっています。
ステファン・エッサー氏は最近、SQL カラムのトランケーション(切り捨て)および mt_rand() の弱点について開発者に注意を促しました。彼の助力のもとにこの問題を解決しましたので、WordPress 2.6.2 をリリースします。誰でもユーザー登録ができるブログをお持ちの場合、必ずアップグレードを行って下さい。
ユーザー登録を開放している場合、2.6.1 およびそれ以前のバージョンの WordPress では、他のユーザーのパスワードをランダムに生成されたものにリセットできる細工されたユーザー名での登録が可能になってしまいます。このランダムなパスワードは攻撃者には分かりませんので、この問題だけを見ると迷惑な行為ではありますが、セキュリティ上の弱点とはなりません。しかし、この攻撃とランダム数シーディングにおける mt_rand() の弱点を組み合わせると、パスワードを予想するために利用されてしまうこともあり得ます。エッサー氏は後ほど完全な攻撃に関する詳細を公開する予定です。この攻撃を実行するのは難易度が高いですが、可能性があることを考えると 2.6.2 へのアップグレードをおすすめします。
他のPHPアプリケーションも同様の攻撃に影響されます。お使いのアプリケーションすべてを保護するためには、最新版の Suhosin をダウンロードして下さい。Suhosin をすでにアップグレードしている場合、現在お使いの WordPress はすでにこの攻撃に対して対応済みですが、ユーザー登録を開放している場合は、パスワードをランダムに変更されてしまわないよう 2.6.2 へアップグレードをしてください。
2.6.2 はこの他にもいくつかバグ修正を含んでいます。詳しくは、変更点および変更されたファイルの一覧をご確認ください。
“WordPress 2.6.2” への13件のフィードバック
[…] WordPress 2.6.2 にはユーザー登録を開放している場合のセキュリティフィックスが含まれています。その他の更新箇所等は WordPress 2.6.2 のリリースアナウンスの訳を参照してください。 […]
[…] Update!! WordPress2.6.2へアップデートしました。 アップデートの内容は、 ユーザー登録時のセキュリティの強化とのこと。 […]
[…] WordPress | 日本語 » WordPress 2.6.2に書かれているとおりセキュリティフックス、バグフィックス中心のバージョンアップのようです。 […]
[…] 今回もいくつかのバグフィックスのようです。詳細はこちら。 […]
[…] 公式からWordPress 2.6.2日本語版がリリースされました。 ユーザー登録を開放している場合のセキュリティフィックスの他、いくつかのバグfixがあるとのことです。 […]
[…] アップデートの内容は、リリースページまで。セキュリティの強化が主で、WordPressを使っているサイトは、念のためにアップデートをしたほうがよさそうです。 2008年09月10日 水曜日 10:23 オープンソース […]
[…] 8日にWordPressの2.6.2の英語版が本家からリリースされましたが、9日に日本語版も公開されました。tenpuraさんによる差分ファイル(Downloadはコチラ)でバージョンアップを行いました。今回のバージョンアップ(詳細はコチラ)は、セキュリティフィックスといくつかバグ修正のようです。 Tags: wordpress この投稿へのコメントは RSS 2.0フィードで購読することができます。 コメントを残すか、ご自分のサイトからトラックバック することができます。 […]
[…] 「WordPress 2.6.2 日本語版リリースのお知らせ」 「WordPress 2.6.2 のリリースアナウンスの訳」 […]
[…] WordPress 2.6.2 にはユーザー登録を開放している場合のセキュリティフィックスが含まれています。その他の更新箇所等は WordPress 2.6.2 のリリースアナウンスの訳を参照してください。 […]
[…] WordPress | 日本語 WordPress 2.6.2 […]
作っている最中に、バージョンアップが来るといつも悩むのであるが
まだ、アップしていないこともあり、モジュールをすべてかぶせてしまいました。
今のところ問題なしです。
それよりディレクトリー変更にシクッしばらく悩んだ方が痛かったかも。
ベタなhtmlからwordpressに大幅リニューアル。
SEOがどうなるか、楽しみなような、不安なような。
[…] 今回はその失敗をしないように慎重に、アップデートされたファイルをアップして、アップグレードをさせました。 【WordPress | 日本語 » WordPress 2.6.2】よりアップデートされたファイル「wordpress-2.6.2-ja.zip」をダウンロード。 […]
[…] 当サイトのブログシステムをWordPress 2.6.2 日本語版にアップグレード。 […]