Update für Ad-Server OpenX stopft Lücke

Die OpenX-Entwickler haben Version 2.8.7 ihres freien Ad-Servers veröffentlicht, in der vermutlich die Anfang der Woche gemeldete Sicherheitslücke geschlossen ist. Ursache des Problems war eine in das Video-Plug-In von OpenX integrierte Komponente eines anderen Herstellers zum Hochladen von Bildern.

Das im Dezember 2009 eingeführte "Open Flash Chart 2 "-Modul ofc_upload_image.php prüfte nicht, wer was auf den Server lädt. Damit ließen sich auch ausführbare Skripte auf dem Server ablegen und von diesem ausführen – was Kriminelle auch gleich für Angriffe auf die Werbserver von The Pirate Bay, esarcasm.com und AfterDawn.com ausnutzten.

In einem Blogeintrag empfehlen die OpenX-Entwickler Administratoren, aufgrund einer Lücke (die) Upgrades auf neue Versionen so schnell wie möglich durchzuführen. Allerdings ist in den Release Notes zur Version 2.8.7 kein Hinweis, darauf zu finden, ob und welche Lücke geschlossen ist. Im Forum zum Blogeintrag beschweren sich Anwender über die schleppenden und unzureichenden Informationen.
(dab)