WordPress 2.6.2

以下は、2008 年 9 月 8 日に書かれた WordPress.org 公式ブログの記事、「WordPress 2.6.2」を訳したものです(日本語版のリリースはしばらくお待ちください)。以下のリンク先はすべて英語のページとなっています。


ステファン・エッサー氏は最近、SQL カラムのトランケーション(切り捨て)および mt_rand() の弱点について開発者に注意を促しました。彼の助力のもとにこの問題を解決しましたので、WordPress 2.6.2 をリリースします。誰でもユーザー登録ができるブログをお持ちの場合、必ずアップグレードを行って下さい。

ユーザー登録を開放している場合、2.6.1 およびそれ以前のバージョンの WordPress では、他のユーザーのパスワードをランダムに生成されたものにリセットできる細工されたユーザー名での登録が可能になってしまいます。このランダムなパスワードは攻撃者には分かりませんので、この問題だけを見ると迷惑な行為ではありますが、セキュリティ上の弱点とはなりません。しかし、この攻撃とランダム数シーディングにおける mt_rand() の弱点を組み合わせると、パスワードを予想するために利用されてしまうこともあり得ます。エッサー氏は後ほど完全な攻撃に関する詳細を公開する予定です。この攻撃を実行するのは難易度が高いですが、可能性があることを考えると 2.6.2 へのアップグレードをおすすめします。

他のPHPアプリケーションも同様の攻撃に影響されます。お使いのアプリケーションすべてを保護するためには、最新版の Suhosin をダウンロードして下さい。Suhosin をすでにアップグレードしている場合、現在お使いの WordPress はすでにこの攻撃に対して対応済みですが、ユーザー登録を開放している場合は、パスワードをランダムに変更されてしまわないよう 2.6.2 へアップグレードをしてください。

2.6.2 はこの他にもいくつかバグ修正を含んでいます。詳しくは、変更点および変更されたファイルの一覧をご確認ください。

WordPress 2.6.2」への13件のフィードバック

  1. 作っている最中に、バージョンアップが来るといつも悩むのであるが
    まだ、アップしていないこともあり、モジュールをすべてかぶせてしまいました。

    今のところ問題なしです。

    それよりディレクトリー変更にシクッしばらく悩んだ方が痛かったかも。

    ベタなhtmlからwordpressに大幅リニューアル。

    SEOがどうなるか、楽しみなような、不安なような。

コメントは受け付けていません。