OpenX mit neuer Version ohne Backdoor
Nachdem heise Security das Security-Team der Anzeigen-Server-Software über eine Hintertür informiert hat, reagiert der Entwickler prompt und stellt nun eine gereinigte Version bereit.
Nachdem heise Security die Entwickler der Anzeigen-Server-Software über eine Hintertür informiert hatte, reagieren diese nun mit einem Security-Advisory und einer neuen Version. OpenX 2.8.11 entfernt nicht nur die Hintertür sondern schließt auch weitere Lücken im Plugin-Installer-Bereich, die bereits seit einiger Zeit bekannt sind. Um die zu schließen, mussten Anwender die Fixes bislang manuell nachinstallieren. Laut Nick Soracco von OpenX sollten alle Nutzer von OpenX automatisch über die neue Version informiert werden.
Das Download-Paket der Version OpenX 2.10 enthielt eine Hintertür über die Angreifer PHP-Code auf dem Server einschleusen und ausführen konnten. Diese war anscheinend nur in der Download-Version des Open-Source-Pakets enthalten. Wie er dort hineingelangt ist und wie lange er sich bereits dort befand, ist nach wie vor offen. (ju)
