WordPress2.6.2にバージョンアップ

WordPressの2.6.2がリリースされてましたのでアップデートしてみました。ユーザー登録関連のセキュリティアップデートなので念のためサクッとアップデートしておきました。

ユーザー登録を開放している場合、2.6.1 およびそれ以前のバージョンの WordPress では、他のユーザーのパスワードをランダムに生成されたものにリセットできる細工されたユーザー名での登録が可能になってしまいます。このランダムなパスワードは攻撃者には分かりませんので、この問題だけを見ると迷惑な行為ではありますが、セキュリティ上の弱点とはなりません。しかし、この攻撃とランダム数シーディングにおける mt_rand() の弱点を組み合わせると、パスワードを予想するために利用されてしまうこともあり得ます。エッサー氏は後ほど完全な攻撃に関する詳細を公開する予定です。この攻撃を実行するのは難易度が高いですが、可能性があることを考えると 2.6.2 へのアップグレードをおすすめします。

WordPress 2.6.2

今回事前にプラグインを全停止する事をすっかり忘れてまして、後でメチャクチャ慌ててしまいましたが、問題なく動いていたようで安心しました。いつも作業手順メモを見ながらアップデート作業をしているのに、何のためのメモなんでしょうかorz