xClose:de

Mein persönliches OpenX-Notizbuch

OpenX verkauft die Rechte an dem Community OpenX AdServer

16.09.13 (Allgemein)

Am 13. September hat die OpenX Inc. die Rechte an dem Community OpenX AdServer an eine Gruppe ehemaliger OpenX Entwickler verkauft (siehe: http://www.openx.com/content/openx-sells-open-source-ad-serving-product). Dieser “Deal” war bereits eine Weile in Vorbereitung, da noch am gleichen Tag der Revive-AdServer 3.0.0 veröffentlicht wurde – inkl. einer Reihe von Bugfixes.

Der Quellcode und die weitere Entwicklung kann auf Githup verfolgt werden.

Keine Kommentare »

Backdoor in current download packages of OpenX-2.8.10

06.08.13 (Allgemein)

by accident we stumbled across what seems to be a backdoor in the download archive (.zip, .bz2, .tgz) of the current version of the OpenX software. It allows arbitrary PHP code to be executed from remote. The problem is currently exploited in the wild.

This is critical and needs immediate reaction.

If you’re the admin of an openx adserver, you can verify if you installation contains the backdoor:

find . -name \*.js -exec grep -l '<?php' {} \;

When you get a result, it is the infected code

this.each(function(){l=flashembed(this,k,j)} {jQuery.tools=jQuery.tools||{version:
{}};jQuery.tools.version.flashembed='1.0.2';
*/$j='ex'./**/'plode'; /* if(this.className ...

In combination, another part of manipulated code uses require_once() instead of file_get_contents() so serve it.

If you’re not serving videos you can get rid of the infected plugin by deleting the plugin openXVideoAds.

For german version see: http://www.heise.de/security/meldung/Achtung-Anzeigen-Server-OpenX-enthaelt-eine-Hintertuer-1929769.html

Update: The OpenX security team has removed the invected packages and is working on an advisory.

Keine Kommentare »

Neues Sicherheitsloch im OpenX AdServer

30.06.13 (Allgemein)

In den nächsten Tagen wird vermutlich (doch) noch einmal eine neue OpenX-Adserver Version erscheinen … ein Sicherheitsleck wurde soeben im im Code-Repository von OpenX geschlosssen. Nutzern des freien AdServers sind angeraten ihren www/admin-Zweig mit einem .htpasswd Passwort zu schützen. Desweiteren ist es sehr zu empfehlen für die tägliche Arbeit im AdServer einen Account ohne Administrator-Rechte zu verwenden.

Quelle: https://www.htbridge.com/advisory/HTB23155

Keine Kommentare »

OpenX “OnRamp” wird eingestellt

16.03.13 (Allgemein)

Am 22. März 2013 stellt OpenX seinen “kostenlosen” Dienst “OnRamp” ein.

Keine Kommentare »

Neues Update veröffentlicht: OpenX 2.8.10

15.10.12 (Allgemein)

Erneut sieht sich OpenX in der Pflicht mit einem Update einige Bugs in Punkto Sicherheit zu beheben. Nutzer von älteren Versionen wird geraten dieses Update zu installieren. Neue Features enthält das Update nicht.

Keine Kommentare »

Security Issue bei openx 2.8.8

04.05.12 (Allgemein)

Ein vermutlich seit 2-3 Wochen bekannter Bug wurde von OpenX gerade in deren Blog veröffentlicht – vermutlich erneut schlecht programmierte Programmteile die eine SQL-Injection ermöglichen. Genauere Details und was zu tun ist:

http://blog.openx.org/05/security-update-for-openx-28-users/

Warum OpenX bei so einem kritischen Bug nicht die eigene Mailingliste nutzt ist mir unverständlich, der Bug wird bereits intensiv automatisiert ausgenutzt um den zusätzlichen Admin-Account anzulegen.

Allen OpenX-Usern wird dringend geraden die angegebenen Schritte durchzuführen.

Siehe auch:

http://www.infosecisland.com/blogview/21172-OpenX-CSRF-Vulnerability-Being-Actively-Exploited.html

Keine Kommentare »

OpenX veröffentlicht 2.8.8

10.11.11 (Allgemein)

Nach über einem Jahr “Ruhe” hat OpenX heute die Security-Fix-Version 2.8.8 des Open Source AdServers freigegeben, aller Anwender früherer Versionen wird DRINGEND empfohlen dieses Update aufzuspielen. Es wird ein Bug behoben der es erlaubte per SQL-Injektion Datenbankänderungen vorzusehmen.

 

Keine Kommentare »

Cross Site Request Forgery of the OpenX AdServer

31.07.11 (Allgemein)

Last week a possible Cross Site Request Forgery of the OpenX AdServer was found, please see: http://www.exploit-db.com/exploits/17571/

The attached document contains a patchset I’ve just prepared to fix any of the “?????-delete.php” CSRFs – it is based on OpenX 2.8.7 and could be applied using the “patch” command.

NO WARRANTY
THE PATCHSET IS DISTRIBUTED IN THE HOPE THAT IT WILL BE USEFUL, BUT WITHOUT ANY WARRANTY. IT IS PROVIDED “AS IS” WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

CrossSiteRequestForgeries.patch.txt.gz

Keine Kommentare »

LDAP Login Plugin for OpenX

25.10.10 (Plugins)

Today I finished the work on a new authentication plugin for the openx adserver: it validates the given password using a LDAP server. Please contact me for details.

1 Kommentar »

New Plugin accountOverviewReport

12.10.10 (Plugins)

We’re happy to announce our new plugin for OpenX “accountOverviewReport”. This plugin give the Administrator the chance to get a report for all users in his installation. For each user all linked entities are shown (Traffiker, Advertiser, Manager or Admin), directly linked to the page within the UI to edit the permissions.

Plugin Screenshot

1 Kommentar »