Accedi per seguire   
Seguaci 0
frman

Disponibile Wordpress 2.6.2

1 messaggio in questa discussione

Stefan Esser ha recentemente messo in guardia gli sviluppatori circa un pericoloso troncamento della colonna SQL e della debolezza del mt_rand(). Con il suo aiuto Wordpress ha lavorato su questi problemi ed ora ha rilasciato WordPress 2.6.2.

Se permetti la registrazione agli utenti sul tuo blog, dovresti eseguire l'aggiornamento. Con le registrazioni attive, possibili in WordPress 2.6.1 e precedenti, era permesso che un utente resettasse la password di un altro utente con una generata casualmente. La password generata casualmente non è conoscibile dall'attaccante (attacker), quindi il problema di per sè è seccante, ma non una garanzia di exploit. Comunque, questo tipo di attacco, unito alla debolezza nel numero randomico generato da mt_rand() potrebbe essere usato per prevedere la password generata.

Stefan Esser rilascerà a breve i dettagli dell'attacco completo. L'attacco è difficile da realizzare, ma si consiglia l'aggiornamento alla versione 2.6.2.

Altre applicazioni PHP sono soggette a questa classe di attacco. Per proteggere tutte le tue applicazioni, usa l'ultima versione di Suhosin. Se hai gia aggiornato Suhosin, la tua installazione di WordPress è già protetta interamente dagli exploit. Dovresti aggiornare alla 2.6.2 se tu vuoi aprire le registrazioni in modo da prevenire la possibilità che le password vengano randomizzate.

La versione 2.6.2 contiene anche una manciata di bug fixati. Puoi ottenere la lista completa dei file e impostazioni cambiate.

[lng]eng[/lng]Inglese dload.pngDOWNLOAD

[lng]ita[/lng]Italiano dload.pngDOWNLOAD

FONTE: WinInizio.it

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Accedi per seguire   
Seguaci 0