Wordpress har sin nye version under 2.6 linje, wordpress version 2.6.2. Dette løser bugs og hacker at nulstille adgangskoden på multi-user wordpress blogs. Bygherren blog forklarer om muligheden for at gætte tilfældigt genereret adgangskode på grund af mt_rand () funktion.

Hvis du tillader åben registrering på din blog, bør du afgjort opgraderingen. Med åben registrering aktiveret, er det muligt i WordPress versioner 2.6.1 og tidligere til håndværksvirksomheder et brugernavn sådan, at det vil gøre det muligt at nulstille en anden brugers password til en tilfældigt genereret adgangskode . De tilfældigt genereret adgangskode ikke afsløres til hackeren, så dette problem i sig selv er irriterende, men ikke en sikkerhed udnytte. Men dette angreb kombineret med en svaghed i de tilfældige tal såning i mt_rand () kan bruges til at forudsige tilfældigt genereret adgangskode. Stefan Esser vil frigive detaljer af den komplette angriber kort tid. Attentatet er vanskelig at gennemføre, men dens blotte mulighed betyder, at vi anbefaler at opgradere til 2.6.2.

Nogle af de rettelser kan findes her. Stefan Esser her nævnes om opdateringen har skabt et script for bedre intern såning af denne rand () og mt_rand ().

Til forsigtighed, selvom du ikke tillade registrering, er det bedre at opgradere på denne udgivelse.