In OpenX 2.8.7 wurde eine kritische Sicherheitslücke entdeckt. Via SQL-Injection lässt sich Zugriff auf die Datenbank erlangen. Alle Nutzer sollten dringendst auf die gerade erschienene Version 2.8.8 aktualisieren.
Die Lücke wird bereits aktiv ausgenutzt. Man sollte also zusätzlich seinen Server auf Anzeichen eines erfolgreichen Angriffes kontrollieren.
Enttäuschend ist mal wieder die Kommunikationspolitik von OpenX. Die Lücke wurde bereits vor ca. einem Monat von Forennutzern entdeckt, das Update erschien aber erst letzte Woche. Es erfolgte auch keine Warnung über die eingängigen Mailinglisten – nur ein Hinweis im Ankündigungsforum weist auf das Problem hin. Auch bei der letzten kritischen Lücke verstrich unnötig viel Zeit bis eine offizielle Reaktion erfolgte.