作者:Ryan 翻译:wordpress啦
Stefan Esser最近向开发人员警告SQL Column Truncation 的危险性和mt_rand()的弱点。在他的帮助下,我们解决了这些问题,现在发行了WordPress2.6.2版本。如果你的博客允许自由注册,你就需要升级。在WordPress2.6.1以及更早的版本中,允许自由注册,创建的用户名,能够重新设置另一个用户名的密码,随意地创建密码。随意创建的密码并不会向博客黑客透露,因此这个问题本身令人烦恼,而不是安全漏洞。但是这个缺陷与mt_rand()中任意的数字的缺点相结合,可以用来预知随意创建的密码。Stefan Esser不久就会公开完整的袭击的详细信息。袭击很难完成,但是仍然存在,因此我们建议升级到2.6.2。
其它的PHP应用软件也容易受到这种袭击的影响。得到最新版本的Suhosin,包含你所有的应用软件。如果你已经升级了Suhosin,你当前的WordPress版本已经得到保护,不会收到完全的袭击。如果你允许用户在你的博客上自由注册,你仍然需要升级到2.6.2,这样可以避免随意地创建密码。
2.6.2也包含了许多程序漏洞解决办法。查看完整的changeset以及已更改的文件列表。
分类:新闻资讯