OpenX Source security update

Eerder vandaag gaf OpenX Ltd. een nieuwe versie van de OpenX Source ad server software vrij. Dit betreft versie 2.8.11. Ik schreef hierover in een blog post “OpenX Source v2.8.11 released for download” (Engelstalig).

Als u de hosting van uw OpenX Source ad server aan ons heeft uitbesteed, dan vraagt u zich misschien of deze kwestie ook de ad server van uw bedrijf raakt. Gelukkig kunnen we melden dat al onze klanten veilig zijn.

Volgens de meeste berichten is de download package van OpenX Source v.2.8.10 die men kan downloaden van hun site op een bepaald moment in november 2012 door een buitenstaander gewijzigd. Versie 2.8.10 was al in september 2012 beschikbaar gesteld, en wij hebben het destijds meteen opgehaald. Onze ‘base package’ was en is dus nog steeds ongewijzigd.

Zodra we afgelopen maandag de eerste meldingen over dit veiligheidsprobleem lazen, hebben we meteen het package gecontroleerd dat wij gebruiken voor nieuwe installaties en om klanten die naar ons overstappen te migreren. We kunnen nogmaals bevestigne dat onze package clean is.

Zelfs al zouden we aan deze situatie zijn blootgesteld, dan hadden we elke vorm van onverwachte activiteit meteen gesignaleerd. We hebben een combinatie van methoden en systemen die voortdurend alle ad server instances monitoren en valideren. Alles wat ongebruikelijk is zou een alert hebben getriggered. Om voor de hand liggende redenen kunnen we geen details verstrekken over de methodes die we gebruiken om inbreuken te detecteren.

Als u een vraag heeft over dit onderwerp of over de veiligheid van uw ad server systeem in het algemeen, aarzel dan niet om contact op te nemen met uw vaste contactpersoon. We geven graag meer informatie in een persoonlijk gesprek.

OpenX Source v2.8.8 te downloaden

Gebruikers van OpenX Source zien sinds vandaag notificaties over de release van een nieuwe versie van de software, zodra ze inloggen als systeem administrator. Het gaat om de bekende melding die altijd wordt gebruikt als er een nieuwe versie is, maar dit bericht voegt er nog een specifieke mededeling aan toe;

It is highly recommended to install this update as soon as possible, because it contains a number of security fixes.

Vertaald in het Nederlands:

Het wordt sterk aangeraden om deze update zo snel mogelijk te installeren, omdat er een aantal beveilingsoplossingen in zitten.

Er is nog geen nieuws over deze nieuwe release op het OpenX community forum of op hun weblog. De readme file die in het downloadbare bestand zit bevat geen specifieke informatie over de aard van de veiligheidsproblemen die nu zijn opgelost. Een snelle vergelijking van de source code brengt aan het licht dat er vele wijzigingen zijn in de API, en dat lijkt overeen te stemmen met de berichten over de oorsprong van vele hacking incidenten die in de afgelopen maanden zijn voorgekomen.

U kunt de nieuwe versie van OpenX Source version 2.8.8 downloaden van de OpenX website.
[Read more…]

OpenX Ad Server v2.8.7 uitgebracht

Er is een nieuwe versie van de OpenX Ad Server uitgebracht. Deze versie 2.8.7 verhelpt een zeer ernstig security issue. Volgens het bericht op het weblog van OpenX:

there is a vulnerability in the 2.8 downloadable version of OpenX that can result in a server running the downloaded version of OpenX being compromised.

Het probleem vindt zijn oorsprong in de Video Ads plugin van OpenX, die op zijn beurt weer gebruikt maat van een open source component van een derde partij, genaamd Open Flash Charts (OFC) om grafieken te laten zien over de prestaties van de video advertenties. Er zat een security lek in OFC die nu is opgelost.

Daarnaast laat de Upgrade aankondiging in de OpenX management schermen de volgende informatie zien:

If you recently upgraded to version 2.8.6, you can simply install an upgraded video ad plug-in available [here] or remove the following file: admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php from your installation.

Dit is de tweede update in minder dan 1 week, wat op zich alarmerend zal klinken. Aan de nadere kant, software zal altijd bugs en security problemen bevatten, en het is maar beter dat deze snel verholpen worden.

Aangezien op dit moment zowel de primaire OpenX website als hun weblog offline lijken te zijn, kan ik niet meer informatie geven dan wat hierboven al staat.

Wat nog wel werkt is de download link via http://download.openx.org/openx-2.8.7.zip.

OpenX Statistics as Graps plugin update (v1.0.3)

Het team van AdserverPlugins.com heeft een update uitgebracht van de gratis Statistics as Graphs plugin for the OpenX Ad Server. Het gaat om versie 1.0.3, die per direct beschikbaar is om te downloaden.

Deze security fix is bedoeld om een probleem op te lossen in de open source component OFC (Open Flash Charts) die wordt gebruikt om de grafieken te vertonen. Zoals altijd is het van belang om dergelijke updates die een security probleem betreffen zo snel mogelijk te installeren. Op alle OpenX systemen die door ons worden gehost is inmiddels de nieuwste versie van de plugin actief.

OpenX Ad Server v2.8.6 uitgebracht (of toch niet?)

Net als in maart 2010 is er een nieuwe versie van de OpenX software uitgebracht, zonder ook maar een enkele byte aan publiciteit. Geen bericht op het OpenX blog of Twitter, niks. Uit de datum van de files in het download-bestand is deze nieuww release afgerond op 2 september 2010, dus bijna 1 week geleden.

Deze nieuwe versie 2.8.6 lijkt vooral te draaien om het oplossen van een security probleem dat een paar weken geleden is ontdekt. Destijds, op 12 augustus verscheen een nogal cryptisch bericht op het OpenX forum, met informatie over de manier waarop dit security probleem kan worden verholpen. Daar stond bij vermeld dat er spoedig een nieuwe versie zou worden uitgebracht.

De release notes in het v2.8.6 download-bestand verwijzen naar de OpenX Developer site voor meer informatie, maar de issue tracker voor versie 2.8.6 staat nog open en de meeste issues staan nog gemarkeerd als ‘unresolved’. De versie-check in OpenX zelf geeft geen notificatie over een nieuwe release.

Alles bij elkaar is dit een vreemde situatie. Uiteraard is het verstandig om te upgraden naar een nieuwe versie, zeker als de upgrade te maken heeft met het verhelpen van een security issue. Maar aan de andere kant, wat moeten we denken van een release die op geen enkele manier wordt aangekondigd, en waarbij de gebruikelijke informatie (release notes) ontbreekt?

Download OpenX Community edition v2.8.6.

Aanvallen op OpenX v2.8.2 gemeld

Op zaterdag 10 april 2010 begonnen diverse gebruikers van OpenX v2.8.2 problemen te ervaren met hun ad server. Die problemen zijn nu herleid naar het security probleem waarover ik in december 2009 al schreef. Hieronder een verslag van de zoektocht naar de oorzaak en aanbeveling om dergelijke problemen te voorkomen

[Read more…]

OpenX Ad Server v2.8.4 uitgebracht

Op het OpenX blog en in een e-mail nieuwsbrief aan alle geregistreerde gebruikers heeft OpenX bekend gemaakt dat OpenX Ad Server v2.8.4 beschikbaar is om te downloaden.

[Read more…]

OpenX Ad Server v2.8.4 aangekondigd

Op vrijdag 22 januari heeft OpenX als een van de laatste dingen voor het begin van het weekend de aanstaande release van version 2.8.4 van de OpenX Ad Server aangekondigd. Volgens het bericht is de gratis OpenX Community Hosted al opgewaardeerd naar deze versie en zal de nieuwe versie ‘later in de week’ beschikbaar zijn (wat een beetje vreemd is, want op het moment dat het bericht geplaatst werd was de week eigenlijk al afgelopen).

[Read more…]

OpenX Ad Server v2.8.3 uitgebracht – Security Fix!

In OpenX Ad Server v2.8.2 is een security probleem ontdekt, dat iedereen in staat stelt om in te loggen als een Administrator. Dit is uiteraard een zeer ernstig probleem, omdat elke OpenX installatie hierdoor kwetsbaar is.

Er is een oplossing ontwikkeld, en deze is uitgebracht als OpenX Ad Server v2.8.3. De nieuwe versie is beschikbaar om te downloaden op de OpenX website. Het OpenX Blog heeft achtergrondinformatie en tips voor veiligheidsmaatregelen.

OpenX Ad Server v2.8.2 beschikbaar voor downloaden

Vlak voor het weekend is versie 2.8.2 van de OpenX Ad Server uitgebracht. Deze nieuwe versie was een paar dagen geleden al aangekondigd.

[Read more…]

OpenX Source Ad Server