Ein Jahr alte Lücke gefährdet OpenX-Ad-Server

Eine Lücke in einem integrierten Modul eines anderen Herstellers ermöglicht es Angreifern, aus der Ferne einen OpenX-Ad-Server zu kompromittieren. Die Lücke im Modul ist allerdings seit einem Jahr bekannt.

In Pocket speichern vorlesen Druckansicht 19 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Eine kritische Sicherheitslücke in aktuellen und älteren Versionen des populären Ad-Servers OpenX ermöglicht es Angreifern, aus der Ferne einen Server zu kompromittieren. Es gibt auch vereinzelte Berichte von erfolgreichen Angriffen auf OpenX-Server, bei denen die Lücke ausgenutzt wurde.

Ursache des Problems ist eine in das Video-PlugIn von OpenX integrierte Komponente eines anderen Herstellers zum Hochladen von Bildern. Das im Dezember 2009 eingeführte "Open Flash Chart 2 "-Modul ofc_upload_image.php prüft nicht, wer was auf den Server lädt. Damit lassen sich auch ausführbare Skripte auf dem Server ablegen und von diesem ausführen.

Ursprünglich wurde das Problem in der Web-Analyse-Software Piwik vor rund einem Jahr entdeckt, die das gleiche Modul verwendet. Laut der damaligen Fehlerberichte soll sich die Lücke jedoch nur ausnutzen lassen, wenn die PHP-Option register_globals = on gesetzt ist. Bereits vor einen Jahr gab es Updates für Piwik, die das Problem behoben haben. Ein offizielles OFC-Update gab es jedoch nie. Warum die OpenX-Entwickler den Fehler nicht in ihrem Repository geschlossen haben, ist unbekannt – vermutlich haben sie von dem Problem nichts mitbekommen, da sie das Modul erst später integrierten. Ob sie jetzt an einer Korrektur arbeiten, ist unbekannt. Ein Frage danach blieb im Live-Chat der OpenX-Community unbeantwortet.

Administratoren können das Problem recht schnell lösen, indem sie die Datei admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php löschen, sofern sie das Modul nicht benötigen. Andernfalls sollte man den Zugriff beispielsweise unter Apache mit htaccess einschränken. Ein erstes Anzeichen für einen Einbruch kann das Vorhandensein des Verzeichnisses admin/plugins/videoReport/lib/tmp-upload-images sein. (dab)