[Warning] SQL-Injection - Lücke in OpenX Source/Revive Adserver (aktiv ausgenützt)

Robert Waldner waldner at cert.at
Fri Dec 20 11:17:40 CET 2013


20. Dezember 2013

   CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

   OpenX Source (www.openx.com) bzw. der Nachfolger Revive Adserver
   (revive-adserver.com) sind Ad-Server zur Auslieferung von
   Werbe-Bannern auf Web-Seiten.

   Wie vorgestern bekannt wurde (Blog-Post bei kreativrauschen.com[1]),
   gibt es in aktuellen Versionen von OpenX Source/Revive Adserver eine
   SQL-Injection - Lücke.
   Laut dem Blog-Post wird diese Lücke auch bereits aktiv ausgenützt.

Auswirkungen

   Durch die Lücke kann ein Angreifer Zugriff auf das Backend, und damit
   Kontrolle über die gesamte OpenX/Revive-Installation, erlangen.
   Da der Angreifer dadurch prinzipiell beliebigen Code auf betroffenen
   Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie
   potenziell alle durch diese erreichbaren (etwa durch ausspionierte
   Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme
   gefährdet.

Achtung

   *** Weiters kann der Angreifer natürlich auch beliebigen Code in ***
   *** Webseiten einschleusen, die über diese OpenX/Revive-Instanz  ***
   *** Werbung einbinden. In diesem Fall sind alle Benutzer dieser  ***
   *** Webseite potentiell gefährdet.                               ***

Betroffene Systeme

     * Alle Betreiber von OpenX/Revive-Plattformen, die OpenX Source
       2.8.11 bzw. Revive Adserver 3.0.1 verwenden sowie
     * *** alle Betreiber von Webseiten, die von solchen  ***
       *** OpenX/Revive-Anbietern Werbebanner einblenden. ***

Abhilfe

   Wir empfehlen allen Betreibern von OpenX/Revive-Installationen, ihre
   Installationen zu überprüfen und ggfls. die Patches einzuspielen bzw.
   sonstige Massnahmen zu ergreifen, Details dazu finden sich im
   Blog-Post bei kreativrauschen.com[1] und im Security Advisory von
   Revive Adserver[2].
   Webseiten-Betreibern, die Werbung von OpenX/Revive Ad-network
   Anbietern einblenden, empfehlen wir erhöhtes Augenmerk auf etwa
   eingeschleustes Javascript, sowie Kontaktaufnahme mit dem
   Werbeanbieter, um sicherzustellen, dass diesem das Problem bewusst
   ist.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   [1] Blog-Post bei kreativrauschen.com (Englisch+Deutsch)

http://www.kreativrauschen.com/blog/2013/12/18/zero-day-vulnerability-in-openx-source-2-8-11-and-revive-adserver-3-0-1/
   [2] Security Advisory von Revive Adserver (englisch)
       http://www.revive-adserver.com/security/REVIVE-SA-2013-001/

-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20131220/fced9148/attachment.sig>


More information about the Warning mailing list