Уязвимость в OpenX была использована для распространения вредоносных программ
15 сентября 2010 года
Поступила информация о распространении вредоносного кода на некоторых популярных web-ресурсах, использующих для показа баннеров открытый рекламный движок OpenX (Архивная копия от 2 декабря 2016 на Wayback Machine), ранее развиваемый под именем phpAdsNew. Среди таких сайтов, например, оказался один из самых популярных Torrent-ресурсов Pirate Bay, а также юмористический сайт esarcasm.com (Архивная копия от 27 декабря 2020 на Wayback Machine). Одновременно, чтобы помешать выпуску обновления с исправлением уязвимости, на сайт проекта OpenX была инициирована DDoS-атака - на днях в OpenX была зафиксирована критическая уязвимость, позволяющая в конфигурации по умолчанию организовать выполнение PHP-кода на сервере.
Интересно, что проблема оставалась неисправленной с декабря прошлого года, именно в тот момент в базовую поставку был включен новый модуль Open Flash Chart (ofc_upload_image.php), который по недосмотру разработчиков позволял злоумышленникам загрузить произвольные файлы на сервер. Более того, в использующем данный модуль проекте web-аналитики Piwik данная уязвимость уже была исправлена около года назад, при этом по каким-то причинам исправления не были приняты разработчиками Open Flash Chart.
Причиной появления уязвимости является отсутствие при загрузке информации должной проверки на тип загружаемых файлов - злоумышленник имел возможность вместо изображения загрузить скрипт с расширением ".php", который затем мог был выполнен, если администратор сайта специально не изменил настройки, запретив выполнение скриптов в директории с изображениями. Одним из признаков взлома является появление на сервере директории "admin/plugins/videoReport/lib/tmp-upload-images".
Наиболее простым способом защиты от уязвимости является удаление файла "admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php" или блокирование доступа к нему через .htaccess. Кроме того, разработчики уже выпустили (Архивная копия от 6 ноября 2013 на Wayback Machine) корректирующее обновление OpenX 2.8.7 (Архивная копия от 29 сентября 2010 на Wayback Machine).
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
