[ON] Уязвимость в OpenX была использована для распространения вредоносных программ

[rssbot]

Поступила информация о распространении вредоносного кода на некоторых популярных web-ресурсах, использующих для показа баннеров открытый рекламный движок OpenX, ранее развиваемый под именем phpAdsNew. Среди таких сайтов, например, оказался один из самых популярных Torrent-ресурсов Pirate Bay, а также юмористический сайт esarcasm.com. Одновременно, чтобы помешать выпуску обновления с исправлением уязвимости, на сайт проекта OpenX была инициирована DDoS-атака - на днях в OpenX была зафиксирована критическая уязвимость, позволяющая в конфигурации по умолчанию организовать выполнение PHP-кода на сервере. Интересно, что проблема оставалась неисправленной с декабря прошлого года, именно в тот момент в базовую поставку был включен новый модуль Open Flash Chart (ofc_upload_image.php), который по недосмотру разработчиков позволял злоумышленникам загрузить произвольные файлы на сервер. Более того, в использующем данный модуль проекте web-аналитики Piwik данная уязвимость уже была исправлена около года назад, при этом по каким-то причинам исправления не были приняты разработчиками Open Flash Chart. Причиной появления уязвимости является отсутствие при загрузке информации должной проверки на тип загружаемых файлов - злоумышленник имел возможность вместо изображения загрузить скрипт с расширением ".php", который затем мог был выполнен, если администратор сайта специально не изменил настройки, запретив выполнение скриптов в директории с изображениями. Одним из признаков взлома является появление на сервере директории "admin/plugins/videoReport/lib/tmp-upload-images". Наиболее простым способом защиты от уязвимости является удаление файла "admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php" или блокирование доступа к нему через .htaccess. Кроме того, разработчики уже выпустили корректирующее обновление OpenX 2.8.7.


Источник: http://www.opennet.ru/opennews/art.shtml?num=27971


оригинал на opennet.ru

[Babusha]

Не понимаю смысла рекламы в интернете, никто же ее не смотри и не читает.

[sash-kan]

Не понимаю смысла рекламы в интернете, никто же ее не смотри и не читает.

если бы _никто_ не смотрел, вряд ли бы кто-то платил за её размещение. логично?

[t.t]

По отзывам нескольких знакомых руководителей околоайтишных компаний реклама в интернете куда эффективнее рекламы в периодической печати.

[/dev/random]

По отзывам нескольких знакомых руководителей околоайтишных компаний реклама в интернете куда эффективнее рекламы в периодической печати.

околоайтишных

Ещё бы.

[nickm]

Не понимаю смысла рекламы в интернете, никто же ее не смотри и не читает.

внезапно, обычные юзеры ещё как смотрят и ещё даже по ссылкам с рекламой ходят.
К томуже в инете гораздо проще отследить эффективность рекламы, чем по радио/тв/печати.
Былобы неэффективно, не использовали-бы.