10.11.11 (Allgemein)
Nach über einem Jahr “Ruhe” hat OpenX heute die Security-Fix-Version 2.8.8 des Open Source AdServers freigegeben, aller Anwender früherer Versionen wird DRINGEND empfohlen dieses Update aufzuspielen. Es wird ein Bug behoben der es erlaubte per SQL-Injektion Datenbankänderungen vorzusehmen.
31.07.11 (Allgemein)
Last week a possible Cross Site Request Forgery of the OpenX AdServer was found, please see: http://www.exploit-db.com/exploits/17571/ The attached document contains a patchset I’ve just prepared to fix any of the “?????-delete.php” CSRFs – it is based on OpenX 2.8.7 and could be applied using the “patch” command. NO WARRANTYTHE PATCHSET IS DISTRIBUTED IN THE HOPE [...]
12.10.10 (Allgemein)
Last week I was part of a team to analyze how a common exploid start its work. The first thing I noticed: it reads either the README.txt, REALEASE_NOTES.txt or UPGRADE.txt Why? Well, this can be used to discover the exact version information of your openx installation. With this knowledge the person (or script) at the [...]
16.09.10 (Allgemein)
Gestern hat OpenX endlich auf die Probleme mit dem OpenX Flash Chart reagiert und ein Update bereitgestellt. Anwender die das Risiko in Version 2.8.6 bereits “per Hand” durch das Löschen von /www/admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php beseitig haben, können diese Version getrost ignorieren – weitere Änderungen bringt 2.8.7 nicht.
10.09.10 (Allgemein)
Knapp 3 Tage nach dem Veröffentlichen der neuen Version kommt der OpenX-AdServer schon wieder in “Schieflage” – in dem Video-PlugIn des AdServers wurde die Open Source Komponente “Open Flash Chart” integriert – und deren Entwickler hat vermutlich vergessen eine kritische Datei zum Upload von Dateien zu entfernen oder besser abzusichern. Erste “Hacks”, die diese Lücke [...]
03.09.10 (Allgemein)
Die Arbeiten an dem nächsten Wartungs-Release von OpenX sind inzwischen abgeschlossen, die Version 2.8.6 kann unter dem folgenden Link heruntergeladen werden. Mit diesem Upgrade werden zwei Sicherheitslöcher geschlossen, über die sowohl lesende, als auch schreibende SQL-Injektions unter MySQL und Postgress möglich waren. Ein zeitnahes Upgrade ist zu empfehlen.
14.08.10 (Allgemein)
OpenX hat heute einen Hot-Fix für eine mögliche SQL-Injection veröffentlicht, alle OpenX-Nutzer sollten nicht auf das angekündigte Upgrade warten sondern den Hot-Fix schnellstmöglich aufspielen. Siehe: http://forum.openx.org/index.php?showtopic=503483831
16.07.10 (Allgemein)
On and off I get in contact with OpenX AdServers which are hacked by SQL injection. So as a reminder: OpenX AdServer version 2.8.3 and below is vulnerable, there exists some exploids which automate the procedure to to hack into the UI or modify the database by SQL injection. It is highly recommmended that you [...]
14.07.10 (Allgemein)
A new plugin for the OpenX-Adserver has been release: WecosCategory. This plugin will be very useful for ad-networks: The Administrator manage the list of available categories and inspects the detailed usage of a category. At website level categories can be used to setup the website defaults used as suggestion for zone categories of new zones. [...]
20.06.10 (Allgemein)
A new plugin for the OpenX AdServer is almost finished: automatically link Campaigns and Zones by Category. The administrator defines a list of categories, to which zones or campaigns are able to subscribe. After the subscription has been saved, the campaign / zone linking is automatically applied to match the specified categories. Please contact me [...]