WordPress 2.6.1存在SQL Truncation安全漏洞
2008 年 09 月 08 日 – 20:10:18更新:WordPress 2.6.2已經修復此漏洞,請到這裡下載。
WordPress 2.6.1被發現存在SQL Truncation安全漏洞。如果WordPress開放註冊功能,攻擊者可以經由遠端取得管理者密碼。
受影響軟體版本:WordPress 2.6.1
暫時解決方案:關閉WordPress註冊功能
我的部落格版本是2.5,剛剛檢查資料庫,發現有人正在嘗試取得部落格的管理員密碼,不知道有沒有成功勒(我已經把此帳號砍了)。以下是我測試自己部落格的畫面,前面幾個步驟都成功,但在「請輸入您的帳號以或電子郵件。您將會收到內有新密碼的電子郵件。」這個步驟失敗,出現「抱歉,收到的鑰匙不正確。」,不曉得是不是WordPress版本的關係。
<管理者帳號多了一筆,有人正在試我的部落格>
<註冊管理者帳號>
<取得新管理者密碼>
<收到重設密碼電子郵件>
<重設密碼出現錯誤>
雖然,測試自己的部落格失敗,但很多網友皆使用WordPress 2.6.1,應該很容易試成功,請各位盡速暫時關閉部落格註冊功能。
參考來源:
“WordPress 2.6.1存在SQL Truncation安全漏洞” 目前有 2 迴響
安安~這篇我引用連結過去囉
漏洞說明有助於提醒使用者盡快更新
僅引用標題連結,如有不妥,請告知我喔。
By Arno Ruan on 2008 年 09 月 9 日 - 15:59:22
補充:
引用於
搬進動物園暨WordPress 2.6.2 版本升級
http://blog.joytown.tw/2008/09/09/340
By Arno Ruan on 2008 年 09 月 9 日 - 16:00:09