O colega Stefan Esser alertou recentemente para os problemas de SQL e trancagem de colunas e da fraqueza do mt_rand().  A organização do Wordpress trabalhou juntamente com o Stefan no problema, e lançou inesperadamente o novo WordPress 2.6.2.  Se por ventura permite registos livres no seu blog, a actualização é altamente recomendada.  Com os registos livres é muito fácil no WordPress 2.6.1 ou anteriores, que um username se registe e gere uma password completamente nova para um outro utilizador já registado.  A password gerada é automatica, pelo que o problema não é a posse ou o facto de se tratar de um exploit, mas apenas uma manobra de segurança que a organização considera importante, ainda que estranha.  No entanto, essa falha de segurança aliada à fraqueza do mt_rand() poderá ser utilizada para descobrir qual a password gerada automaticamente.  O Stefan Esser irá lançar novidades sobre este assunto brevemente.  O ataque é díficil de conseguir, mas ainda assim sugerimos que se proteja com a versão 2.6.2.

Outras aplicações PHP são susceptíveis a este tipo de ataque.  Para proteger todas as suas aplicações, obtenha a última versão do Suhosin.  Se por ventura já actualizou o Suhosin, a sua instalação de WordPress fica automaticamente protegida deste tipo de exploit.  Ainda assim, recomenda-se a actualização para a versão 2.6.2, especialmente se fizer uso de registo livres.

A versão 2.6.2 contem ainda uma mão cheia de bugs resolvidos.  Veja a lista completa de alterações.

Faça o download: Wordpress 2.6.2 (ING)

Amante do Wordpress ? Talvez queira subscrever o nosso RSS Feed Completo ?

Outros artigos de interesse:

• Wordpress 2.6.2 lançado (finalmente) em Português de Portugal e do Brasil
• Como tornar os comentários do seu blog compatíveis com o novo WP2.7?
• Wordpress 2.7 Beta 1 já disponível para download
• Fotografia exclusiva da versão final do painel de administração do WP2.7
• WordPress 2.6.1 Beta1 disponivel para download!
• Como criei um footer de 3 colunas no meu blog Wordpress