wordpress 2.8.4 poprawka bezpieczeństwa

Poprawka poprawki, coś ostatnio nie mogą przestać…

Wczoraj odkryto lukę: specjalnie spreparowany adres URL może być wywołany, co pozwoli atakującemu na ominięcie zabezpieczeń w celu potwierdzenia prośby o przypomnienie hasła. W wyniku, pierwsze konto bez klucza w bazie danych (zwykle jest to konto administratora) jego hasło zostaje zresetowane i nowe hasło zostanie wysłane e-mailem na konto właściciela. To nie pozwala na zdalny dostęp, ale to jest bardzo denerwujące.

Ustaliliśmy ten problem ostatniej nocy, zostały przetestowane poprawki i szukamy innych problemów, od tamtego czasu. Po adresem: http://wordpress.org/download/ znajduje się Wersja 2.8.4, która naprawia wszystkie aktualnie znane problemy jest już dostępna do pobrania i jest wysoce zalecana dla wszystkich użytkowników WordPress.

Oryginalny wpis Matt Mullenweg:

Yesterday a vulnerability was discovered: a specially crafted URL could be requested that would allow an attacker to bypass a security check to verify a user requested a password reset. As a result, the first account without a key in the database (usually the admin account) would have its password reset and a new password would be emailed to the account owner. This doesn’t allow remote access, but it is very annoying.

We fixed this problem last night and have been testing the fixes and looking for other problems since then. Version 2.8.4 which fixes all known problems is now available for download and is highly recommended for all users of WordPress.