どうやら、WordPress2.8.3に脆弱性が見つかったようです。WordPressは自分のブログでも使用しているオープンソースブログ作成ソフトなのですが、SANSの報告より、この脆弱性を利用するとリモートのユーザーが管理用のパスワードをリセットできてしまうようです。

脆弱性を解決するパッチは現在開発中のようで、英語版WordPress2.8.4は昨日リリースされました。日本語版は現在開発中とのことです。

詳細は続きから

以下は、2009年8月12日に書かれた WordPress.org 公式ブログの記事、「WordPress 2.8.4: Security Release」を訳したものです。

WordPress2.8.3の脆弱性の詳細

昨日、WordPress2.83に脆弱性が見つかりました: 脆弱性の内容は特別に作成された URL がリクエストされると、ユーザーがリクエストしたパスワードのリセットを確認するためのセキュリティチェックを攻撃者が回避できる可能性があります。その結果、データベースにキーを持たない最初のアカウント (通常は管理者アカウント) のパスワードがリセットされ、新しいパスワードがそのアカウントのメールアドレスに送られます。これによってリモートアクセスが可能になるわけではありませんが、かなり不愉快な思いをするでしょう。

私たちは昨晩この問題を修正し、この修正をテストして他に問題がないか確認しました。既知の問題をすべて修正したバージョン2.8.4（英語版）はすでにダウンロードできるようになっていて、すべての WordPress ユーザーにアップグレードを強くおすすめします。

今回の脆弱性事態は急を要するわけではありませんので、数日の内にWordPress2.84の日本語版が開発されるとのことですので、少しの間待たせていただきましょう。

それにしても、先週のWordPress2.8.3に続き、脆弱性が見つかりましたか・・・少しペースが速いような気がしますが、ユーザーとしては、いち早くこういった脆弱性に気づいて修正してもらえるというのはありがたいことですね。

1. WordPress2.8.5日本語版公開～脆弱性～