WordPress本体の、擬似乱数生成器に欠陥、adminのパスワードを攻撃者が容易に予測できる脆弱性

WordPressの本体に脆弱性が発見されているようです。

パスワードの再発行などの際に、一時的に仮パスワードをつくる擬似乱数生成器に欠陥があり、攻撃者が容易に管理者のパスワードを推定できてしまうとのこと。

118346 2015-02-12 WordPress PRNG Insufficient Entropy Predictable Password Reset Token

WordPress contains a flaw that is due to the program using weak entropy when generating pseudo random numbers. This may allow a remote attacker to more easily predict an admin’s password reset token and subsequently gain access to the admin’s account.

ワードプレス本体の欠陥ということで影響範囲は大きそうですが、アップデートはまだ発表されていません。

 

現在のところユーザーに対策の方法が無いため、アカウントの継続的な監視が必要と思われます。

 

【お知らせ】

弊社レオンテクノロジーにて、WEBセキュリティについてのセミナーを実施いたします。最新のセキュリティ攻撃の事情に着目し、セキュリティインシデントの例や、実際にどのように攻撃が行われているのかを実演し、対策方法についてご紹介いたします。

・Webアプリケーション対策をご検討の方
・Webアプリケーションについての対策を行っていない方
・最新の情報セキュリティに興味のある方
・情報セキュリティ担当を初めてされる方
以上の方、そうでない方もぜひ足を運んでみてください。

LINEで送る
Pocket

こんな記事も読まれています