OpenX 2.8.7 verhindert Angriffe durch Script-Uploads

21. September 2010
Arne Schwarze Von Arne Schwarze, IT Sicherheit, News & Trends ...

Nach Bekanntwerden einer Schwachstelle in OpenX haben die Entwickler diese nun mit Version 2.8.7 geschlossen.

OpenX wird von Online-Werbeanbietern zur Verwaltung ihrer digitalen Werbekampagnen und unter anderem zur Einblendung von Webebannern verwendet. In der Upload-Funktion für Bilder des Video-Plug-Ins von OpenX sorgt die Schwachstelle nun dafür, dass anstatt Bildern auch Scripte auf den Server hochgeladen werden können. Die Scripte können dann direkt auf dem Server ausgeführt werden.

Durch die Sicherheitslücke können Angreifer die Werbe-Server beispielsweise missbrauchen, um Schadprogramme zu verbreiten. Da Angreifer die Schwachstelle bereits ausnutzen und zahlreichen OpenX-Server für Angriffe missbrauchen, sollten Sie Ihren Server schnellstmöglich auf Version 2.8.7 aktualisieren. Hier haben die Entwickler das Problem behoben.

Auf einigen der infizierten Systeme wurde der das Verzeichnis "admin/plugins/videoReport/lib/tmp-upload-images" entdeckt. Wenn sich dieses auf Ihrem Server befindet, müssen Sie davon ausgehen, dass Angreifer die Schwachstelle bereits ausgenutzt haben. Ein sicheres Indiz für einen Angriff ist das jedoch leider nicht.

Gratis: Die besten Viren-Scanner im Test

+ Gratis Eilmeldungen "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner,
  • das zeichnet einen guten Viren-Scanner aus,
  • Gratis Eilmeldungen sobald ein neuer Virus auftaucht.
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Weitere Artikel zum Thema

Gratis: Die besten Viren-Scanner im Test

+ "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner
  • Gratis Virus-Eilmeldungen
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"