Schwachstelle in Revive Adserver kann Schadcode-Auslieferung ermöglichen
Der Werbeanzeigen-Server Revive Adserver ist über zwei Schwachstellen angreifbar; eine davon gilt als kritisch. Version 4.2.0 ist abgesichert.
(Bild: geralt)
Über eine Schwachstelle im Open-Source-Anzeigen-Server Revive Adserver könnten sich Angreifer unter bestimmten Voraussetzungen Serverzugriff verschaffen, um anschließend mittels Werbeanzeigen Schadcode in fremde Webseiten einschleusen.
Das Revive-Adserver-Team bewertet das von der Schwachstelle verursachte Risiko als „hoch“. Der Entdecker der Schwachstelle stuft es auf der Bug-Bounty-Plattform Hacker One gar als „critical“ ein.
Laut Revive Adservers Sicherheitshinweis sind sämtliche Versionen vor 4.2.0 betroffen; die Vergabe von CVE-Nummern steht noch aus. Die Entwickler raten zum zügigen Update auf Version 4.2.0 oder – sofern dies aus irgendwelchen Gründen nicht unmittelbar möglich ist – zum Löschen der Dateien adxmlrpc.php, www/delivery/axmlrpc.php und www/delivery/dxmlrpc.php.
Dass die Schwachstelle bereits ausgenutzt worden sein könnte, sei "möglich", bislang aber "nicht bestätigt".
Weitere Schwachstelle in allen Versionen
Die neue Version 4.2.0 schließt noch eine zweite, allerdings lediglich mit dem Sicherheitsrisiko „mittel“ (CVSS Base Score 4.2) eingestufte Schwachstelle („low“ laut Hacker One). Auch sie betrifft sämtliche Versionen von Revive Adserver vor 4.2.0.
Detaillierte Beschreibungen beider Schwachstellen sind dem Sicherheitshinweis beziehungsweise den Hacker-One-Reports zu entnehmen. Revive Adserver 4.2.0 steht auf der Website des Unternehmens zum Download bereit. (ovw)
