WordPress 2.6.2
8 сентября вышла новая версия системы введения блога WordPress. В версии 2.6.2 исправлена уязвимость, которой были подвержены блоги с открытой регистрацией. Злоумышленник при создании нового пользователя мог использовать в имени спецсимволы, вследствие чего появлялась возможность смены пароля для другого пользователя на случайное значение. Проблема усугубляется еще тем, что в интерпретаторе PHP найдена ошибка, позволяющая предугадать случайное число, которое выдается функцией mt_rand(). Более подробно, но на английском можно прочитать на официальном сайте: http://www.wordpress.org/development/2008/09/wordpress-262/.
Данной уязвимости подвержены все предыдущие версии, включая 2.6.1. Если у вас в блоге закрыта регистрация, то можно смело оставаться на версии 2.6.1.
Измененные файлы относительно версии 2.6.1:
/wp-login.php
/wp-settings.php
/wp-admin/includes/template.php
/wp-admin/includes/image.php
/wp-admin/import/textpattern.php
/wp-admin/css/press-this-ie.css
/wp-includes/post.php
/wp-includes/version.php
/wp-includes/query.php
/wp-includes/formatting.php
/wp-includes/pluggable.php
/wp-includes/widgets.php
Новые релизы:
WordPress 2.6.2 (на русском)
WordPress 2.6.2 (на английском)
