Kritická bezpečnostní chyba v OpenX
Nálepky:
Bezpečnostní chyba, respektive chyby ve starších verzích reklamního systému OpenX umožňují SQL Injection. V minulých dnech kvůli ní byly úspěšně napadeny např. Pirate Bay a NY Times. Útočníci velmi často podstrčí do připojených částí (append) bannerů a zón iframe nebo JavaScript s badware. Výsledkem je za pár hodin nahlášená útočná stránka např. od Google.
Opravovat by to měla včera vydaná verze 2.8.7. O chybě se bohužel ví již poměrně dlouho a oficiální reakce OpenX přišla až dnes, www mají zároveň nedostupné.
(V mém případě si útočník v pondělí pohodlně zřídil administrátorský účet, k zónám přidal javascript s virem a šířit ho začal až ve středu. Výsledkem byla nahlášená útočná stránka, žádost o odblokování trvala skoro 12 hodin.- pozn.aut.)
„Doporučený“ postup pro ještě nezasažené weby je aktualizovat na včera vydanou verzi 2.8.7 a zabezpečit OpenX dle pokynů.
Pokud byl Váš web již zasažen (a doufejte, že zasažen byl jen openx) je lepší software kompletně přeinstalovat než riskovat že v něm zůstane např. nějaký upravený kód.