SQL-Injection - Lücke in OpenX Source/Revive Adserver (aktiv ausgenützt)
20. Dezember 2013
CERT.at ersucht um Beachtung der folgenden Meldung.
Da der Angreifer dadurch prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Webseiten-Betreibern, die Werbung von OpenX/Revive Ad-network Anbietern einblenden, empfehlen wir erhöhtes Augenmerk auf etwa eingeschleustes Javascript, sowie Kontaktaufnahme mit dem Werbeanbieter, um sicherzustellen, dass diesem das Problem bewusst ist.
Informationsquelle(n):
Blog-Post bei kreativrauschen.com (Englisch+Deutsch)
http://www.kreativrauschen.com/blog/2013/12/18/zero-day-vulnerability-in-openx-source-2-8-11-and-revive-adserver-3-0-1/
Security Advisory von Revive Adserver (englisch(
http://www.revive-adserver.com/security/REVIVE-SA-2013-001/
Beschreibung
OpenX Source (www.openx.com) bzw. der Nachfolger Revive Adserver (revive-adserver.com) sind Ad-Server zur Auslieferung von Werbe-Bannern auf Web-Seiten.
Wie vorgestern bekannt wurde (kreativrauschen.com),
gibt es in aktuellen Versionen von OpenX Source/Revive Adserver eine SQL-Injection - Lücke.
Laut dem Blog-Post wird diese Lücke auch bereits aktiv ausgenützt.
Auswirkungen
Durch die Lücke kann ein Angreifer Zugriff auf das Backend, und damit Kontrolle über die gesamte OpenX/Revive-Installation, erlangen.Da der Angreifer dadurch prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Achtung
Weiters kann der Angreifer natürlich auch beliebigen Code in Webseiten einschleusen, die über diese OpenX/Revive-Instanz Werbung einbinden. In diesem Fall sind alle Benutzer dieser Webseite potentiell gefährdet.Betroffene Systeme
- Alle Betreiber von OpenX/Revive-Plattformen, die die OpenX Source 2.8.11 bzw. Revive Adserver 3.0.1 verwenden sowie
- alle Betreiber von Webseiten, die von solchen OpenX/Revive-Anbietern Werbebanner einblenden.
Abhilfe
Wir empfehlen allen Betreibern von OpenX/Revive-Installationen, ihre Installationen zu überprüfen und ggfls. die Patches einzuspielen bzw. sonstige Massnahmen zu ergreifen, Details dazu finden sich im Blog-Post (kreativrauschen.com) und im Security Advisory von Revive Adserver.Webseiten-Betreibern, die Werbung von OpenX/Revive Ad-network Anbietern einblenden, empfehlen wir erhöhtes Augenmerk auf etwa eingeschleustes Javascript, sowie Kontaktaufnahme mit dem Werbeanbieter, um sicherzustellen, dass diesem das Problem bewusst ist.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Blog-Post bei kreativrauschen.com (Englisch+Deutsch)
http://www.kreativrauschen.com/blog/2013/12/18/zero-day-vulnerability-in-openx-source-2-8-11-and-revive-adserver-3-0-1/
Security Advisory von Revive Adserver (englisch(
http://www.revive-adserver.com/security/REVIVE-SA-2013-001/