Wordpress har sin nya version under 2.6 linje, wordpress version 2.6.2. Detta fixar buggar och angripare att återställa lösenord på flera användare wordpress bloggar. Exploatören blogg berättar om möjligheten att gissa slumpmässigt lösenord på grund av mt_rand () funktion.

Om du tillåter öppen registrering på din blogg bör du definitivt uppgradering. Med öppen registrering aktiverad är det möjligt i WordPress version 2.6.1 och tidigare farkoster ett användarnamn så att det kommer att göra det möjligt att återställa en användares lösenord till ett slumpmässigt lösenord . De slumpmässigt genererade lösenordet inte avslöjas för angriparen, så detta problem av sig självt är irriterande, men inte en säkerhet utnyttja. Men detta angrepp i kombination med en svaghet i slumptal seedning i mt_rand () skulle kunna användas för att förutsäga slumpmässigt lösenord. Stefan Esser kommer att släppa detaljer om den fullständiga attack kort. Attacken är svår att åstadkomma, men blotta möjligheten sätt rekommenderar vi att uppgradera till 2.6.2.

Få av de korrigeringar kan hittas här. Stefan Esser här nämns om uppdateringen har skapat ett skript för bättre intern bestrykningen denna rand () och mt_rand ().

För försiktighet även om du inte tillåter registrering, det är bättre att uppgradera den här versionen.