Wieder einmal wurde eine kritische Sicherheitslücke in OpenX entdeckt. Wieder einmal dauerte es Wochen, bis OpenX reagierte. Wieder einmal wurde die Lücke in dieser Zeit aktiv ausgenutzt. Neu ist, dass diesmal scheinbar die OpenX-Server selbst Hilfestellung in der massiven Verteilung des Angriffes leisteten.
Alle Nutzer sollten schnellstmöglichst die inzwischen verfügbaren Anweisungen aus dem OpenX-Blog befolgen um das System notdürftig abzusichern. Eine neue Version ist bislang nicht verfügbar. Laut Krebs on Security plant OpenX die Veröffentlichung eines Updates für nächste Woche.
Eine ausführliche Analyse des Angriffes gibt es u.a. bei InfosecStuff. Deutschsprachige Berichterstattung u.a. bei Golem.de.
Ich würde mich an dieser Stelle ja nochmal über die (gelinde gesagt) enttäuschende Handhabung dieser Lücke seitens OpenX auslassen, aber inzwischen erwartet man ja nichts anderes mehr. Ich hoffe auf einen Fork…