07.08.2013, 14:09
Jeśli w ciągu ostatnich 9 miesięcy ktoś z czytających instalował popularne oprogramowanie i usługi OpenX, to może mieć problem. Wczoraj opublikowano informacje, że w kodzie OpenX zneleziono głęboko ukryty kod wskazujący na funkcje backdoora, który może umożliwić atakującemu przejęcie kontroli nad serwerem i stroną internetową.Odkryto, że kod zmodyfikowano najprawdopodobniej w listopadzie 2012 i do tej pory luka ta nie była zidentyfikowana.
Nie wiadomo jeszcze dokładnie, jak poważne jest realne zagrożenie, ale wiadomo że potencjalne możliwości wykorzystania luki wyglądają groźnie. Póki co przedstawiciele OpenX nie publikują oficjalnych wyjaśnień, czekając na bardziej szczegółowe analizy i opracowania.
Źródło cytatu
Cytat: The backdoor is tucked deep inside a directory in the /plugins tree in a JavaScript file called flowplayer-3.1.1.min.js. Mixed in with the JavaScript code is a malicious PHP script that lets attackers use the "eval" function to execute any PHP code. Mingling the PHP code with JavaScript makes it harder to detect the backdoor.
(...)
Daniel Cid, a researcher at Sucuri, has spent the past several hours combing through his company''s intelligence logs and found no sign that any of the thousands of websites it tracked were accessed using the backdoor.
"The backdoor is very well hidden and hard to detect, explaining why it went undetected for so long," he wrote in an e-mail to Ars. "So I assume it was being used for very targeted attacks instead of mass malware distribution."
Nie wiadomo jeszcze dokładnie, jak poważne jest realne zagrożenie, ale wiadomo że potencjalne możliwości wykorzystania luki wyglądają groźnie. Póki co przedstawiciele OpenX nie publikują oficjalnych wyjaśnień, czekając na bardziej szczegółowe analizy i opracowania.
Źródło cytatu
[Aby zobaczyć linki, zarejestruj się tutaj]
Cytat: OpenX – Ad Server, czyli zarządzanie reklamami na stronie internetowej
Dobre i powszechnie znane oprogramowanie zarządzające reklamami na stronie internetowej to podstawa wiarygodności firmy, która sprzedaje miejsca reklamowe na swoich witrynach. Ad Server, czyli serwer reklamowy (od ang. advertisement) zapewnia dostęp do tych samych statystyk wyświetleń, kliknięć, czy też tzw. akcji, jednocześnie dla właściciela strony, jak i reklamodawców.
Koszty oprogramowania tego rodzaju liczyć można w dziesiątkach tysięcy złotych. Dlatego tym bardziej cieszy obecność OpenX, które jest całkowicie bezpłatne (zdaje się, że twórcy utrzymują się z płatnego hostingowania ad servera, co nie jest oczywiście obowiązkowe – większość firm instaluje OpenX na własnym serwerze).
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"