OpenX mit neuer Version ohne Backdoor
Nachdem heise Security das Security-Team der Anzeigen-Server-Software ĂĽber eine HintertĂĽr informiert hat, reagiert der Entwickler prompt und stellt nun eine gereinigte Version bereit.
Nachdem heise Security die Entwickler der Anzeigen-Server-Software ĂĽber eine HintertĂĽr informiert hatte, reagieren diese nun mit einem Security-Advisory und einer neuen Version. OpenX 2.8.11 entfernt nicht nur die HintertĂĽr sondern schlieĂźt auch weitere LĂĽcken im Plugin-Installer-Bereich, die bereits seit einiger Zeit bekannt sind. Um die zu schlieĂźen, mussten Anwender die Fixes bislang manuell nachinstallieren. Laut Nick Soracco von OpenX sollten alle Nutzer von OpenX automatisch ĂĽber die neue Version informiert werden.
Das Download-Paket der Version OpenX 2.10 enthielt eine HintertĂĽr ĂĽber die Angreifer PHP-Code auf dem Server einschleusen und ausfĂĽhren konnten. Diese war anscheinend nur in der Download-Version des Open-Source-Pakets enthalten. Wie er dort hineingelangt ist und wie lange er sich bereits dort befand, ist nach wie vor offen. (ju)
