xClose:de

Security Issue bei openx 2.8.8

admin — Fri, 04 May 2012 11:12:26 +0000

Ein vermutlich seit 2-3 Wochen bekannter Bug wurde von OpenX gerade in deren Blog veröffentlicht – vermutlich erneut schlecht programmierte Programmteile die eine SQL-Injection ermöglichen. Genauere Details und was zu tun ist:

http://blog.openx.org/05/security-update-for-openx-28-users/

Warum OpenX bei so einem kritischen Bug nicht die eigene Mailingliste nutzt ist mir unverständlich, der Bug wird bereits intensiv automatisiert ausgenutzt um den zusätzlichen Admin-Account anzulegen.

Allen OpenX-Usern wird dringend geraden die angegebenen Schritte durchzuführen.

Siehe auch:

http://www.infosecisland.com/blogview/21172-OpenX-CSRF-Vulnerability-Being-Actively-Exploited.html

OpenX veröffentlicht 2.8.8

admin — Thu, 10 Nov 2011 15:22:38 +0000

Nach über einem Jahr “Ruhe” hat OpenX heute die Security-Fix-Version 2.8.8 des Open Source AdServers freigegeben, aller Anwender früherer Versionen wird DRINGEND empfohlen dieses Update aufzuspielen. Es wird ein Bug behoben der es erlaubte per SQL-Injektion Datenbankänderungen vorzusehmen.

Cross Site Request Forgery of the OpenX AdServer

admin — Sun, 31 Jul 2011 00:02:54 +0000

Last week a possible Cross Site Request Forgery of the OpenX AdServer was found, please see: http://www.exploit-db.com/exploits/17571/

The attached document contains a patchset I’ve just prepared to fix any of the “?????-delete.php” CSRFs – it is based on OpenX 2.8.7 and could be applied using the “patch” command.

NO WARRANTYTHE PATCHSET IS DISTRIBUTED IN THE HOPE THAT IT WILL BE USEFUL, BUT WITHOUT ANY WARRANTY. IT IS PROVIDED “AS IS” WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

CrossSiteRequestForgeries.patch.txt.gz

LDAP Login Plugin for OpenX

admin — Mon, 25 Oct 2010 15:55:44 +0000

Today I finished the work on a new authentication plugin for the openx adserver: it validates the given password using a LDAP server. Please contact me for details.

New Plugin accountOverviewReport

admin — Tue, 12 Oct 2010 15:59:37 +0000

We’re happy to announce our new plugin for OpenX “accountOverviewReport”. This plugin give the Administrator the chance to get a report for all users in his installation. For each user all linked entities are shown (Traffiker, Advertiser, Manager or Admin), directly linked to the page within the UI to edit the permissions.

README, RELEASE_NOTES and UPGRADE.txt

admin — Tue, 12 Oct 2010 08:25:20 +0000

Last week I was part of a team to analyze how a common exploid start its work. The first thing I noticed: it reads either the README.txt, REALEASE_NOTES.txt or UPGRADE.txt

Why?

Well, this can be used to discover the exact version information of your openx installation. With this knowledge the person (or script) at the other end knows within seconds which bugs are already fixed, and which he can use.

So it is allways a good advice to rename or delete those files.

OpenX veröffentlicht Sicherheitsupdate

admin — Thu, 16 Sep 2010 06:18:39 +0000

Gestern hat OpenX endlich auf die Probleme mit dem OpenX Flash Chart reagiert und ein Update bereitgestellt. Anwender die das Risiko in Version 2.8.6 bereits “per Hand” durch das Löschen von

/www/admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php

beseitig haben, können diese Version getrost ignorieren – weitere Änderungen bringt 2.8.7 nicht.

Erneute Sicherheitsprobleme mit OpenX 2.8.6

admin — Fri, 10 Sep 2010 07:09:10 +0000

Knapp 3 Tage nach dem Veröffentlichen der neuen Version kommt der OpenX-AdServer schon wieder in “Schieflage” – in dem Video-PlugIn des AdServers wurde die Open Source Komponente “Open Flash Chart” integriert – und deren Entwickler hat vermutlich vergessen eine kritische Datei zum Upload von Dateien zu entfernen oder besser abzusichern. Erste “Hacks”, die diese Lücke im OpenX ausnutzen, sind bereits bekannt.

Anwender die OpenX zusammen mit dem Video-Plugin einsetzen sollten schnellstmöglich die Datei:

/www/admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php

löschen oder umbenennen. Ein erstes Indiz dafür, ob diese Lücke im eigenen AdServer bereits ausgenutzt wurde, ist das Vorhandensein des Verzeichnisses:

/www/admin/plugins/videoReport/lib/tmp-upload-images/

Nach der Installation des Plugins existiert obiges Verzeichnis nicht, es wird erst angelegt wenn Open-Flash-Chart per obigem “ofc_upload_image”-Script dort Dateien ablegt. Im bekannt gewordenen “Hack” fand sich dort eine Datei “swf.php” – der Angreifer hatte sich dort eine eigene php-Datei hochgeladen, mir der er praktisch Zugriff auf alle für den Prozess des Webservers erreichbaren Dateien des Servers erhält.

Quelle: http://www.kreativrauschen.de/blog/2010/09/09/kritische-sicherheitsluecke-in-openx-2-8-6-open-flash-chart-2/

OpenX 2.8.6 zum Download bereitgestellt

admin — Fri, 03 Sep 2010 20:32:32 +0000

Die Arbeiten an dem nächsten Wartungs-Release von OpenX sind inzwischen abgeschlossen, die Version 2.8.6 kann unter dem folgenden Link heruntergeladen werden. Mit diesem Upgrade werden zwei Sicherheitslöcher geschlossen, über die sowohl lesende, als auch schreibende SQL-Injektions unter MySQL und Postgress möglich waren. Ein zeitnahes Upgrade ist zu empfehlen.

OpenX 2.8.5 – Möglichkeit für SQL-Injection bekannt

admin — Fri, 13 Aug 2010 22:53:05 +0000

OpenX hat heute einen Hot-Fix für eine mögliche SQL-Injection veröffentlicht, alle OpenX-Nutzer sollten nicht auf das angekündigte Upgrade warten sondern den Hot-Fix schnellstmöglich aufspielen.

Siehe: http://forum.openx.org/index.php?showtopic=503483831