Die aktuelle Versionen der beliebten Adserver-Software OpenX (2.8.11), sowie dessen Nachfolger Revive (3.0.1) enthalten eine Sicherheitslücke, durch die Angreifer Zugriff auf das Backend des Adservers erhalten können. Die Lücke wird bereits aktiv ausgenutzt.
Das OpenX-Team wurde darüber informiert. Für Revive habe ich einen Pull-Request gestellt.
Da Revive der offizielle Nachfolger von OpenX Source ist, gehe ich davon aus, dass es von OpenX Source kein Update mehr geben wird. OpenX-Nutzer können die Lücke jedoch manuell beheben, indem sie die von mir angepassten Dateien aus dem Archiv openx-2.8.11-sql-injection-patch.zip anstatt der jeweiligen Original-Dateien verwenden. Für Revive kann das Archiv revive-3.0.1-sql-injection-patch.zip verwendet werden, bis eine neue Version veröffentlicht wurde.
An dieser Stelle sei auch nochmal an die letzte Sicherheitslücke in OpenX erinnert, die in OpenX auch noch nicht behoben ist (wohl aber in Revive). In Kombination können die beiden Lücken genutzt werden, um auf dem System beliebige Befehle mit den Rechten des Webservers auszuführen.
Nachtrag 19.12.: Das Revive-Team hat die Lücke bestätigt und arbeitet an einer aktualisierten Version.
Nachtrag 20.12.: Das Revive-Team hat Revive Adserver 3.0.2 veröffentlicht. Die neue Version behebt die Sicherheitslücke. Ich empfehle jedem (auch Nutzern von OpenX) möglichst bald auf die neue Version zu aktualisieren. Vielen Dank an das Team für die schnelle Reaktion!
Das Revive-Team schlägt außerdem eine schnellere vorübergehendende Lösung vor, falls Revive 3.0.2 nicht sofort installiert werden kann: Einfach die Datei „www/delivery/axmlrpc.php“ löschen, falls sie nicht benötigt wird (die meisten Installationen nutzen sie sowieso nicht).
Nachtrag 3.2.2014: Das Entfernen von axmlrpc.php allein scheint nicht auszureichen um sich zuverlässig zu schützen. dxmlrpc.php sollte ebenfalls entfernt werden. Danke an Péter Veres für den Hinweis!
Übrigens
Wer einen OpenX oder Revive Adserver betreut kann einen Blick auf meine OpenX-Wartungs-Checkliste, oder Revive-Wartungs-Checkliste werfen. Sie helfen den Überblick über regelmäßige Wartungsaufgaben und Sicherheitsprüfungen zu behalten. Wer sich bei Checkpanel registriert kann diese und eigene Listen einfach verwalten. Man kann sehen, wann ein Punkt zuletzt geprüft wurde, Erinnerungen setzen, in Teams arbeiten und mehr. Um die öffentlichen Vorlagen anzusehen ist keine Registrierung notwendig.
Checkpanel bietet nicht nur Checklisten für OpenX/Revive. Es ist ein Tool um wiederkehrende Aufgaben jedweden Ursprungs zu verwalten (siehe Beispiele und Features).