The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимость в OpenX была использована для распространения вре..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в OpenX была использована для распространения вре..."  +/
Сообщение от opennews (??) on 15-Сен-10, 17:01 
Поступила (http://www.thinq.co.uk/2010/9/13/pirate-bay-cracked-spread-m.../) информация о распространении вредоносного кода на некоторых популярных web-ресурсах, использующих для показа баннеров открытый рекламный движок OpenX (http://www.openx.org/), ранее развиваемый под именем phpAdsNew (http://sourceforge.net/projects/phpadsnew/). Среди таких сайтов, например, оказался один из самых популярных Torrent-ресурсов Pirate Bay, а также юмористический сайт esarcasm.com (http://www.esarcasm.com/17960/no-esarcasm-is-not-a-tool-of-s.../). Одновременно, чтобы помешать выпуску обновления с исправлением уязвимости, на сайт проекта OpenX была инициирована DDoS-атака - на днях в OpenX была зафиксирована критическая уязвимость (http://secunia.com/advisories/41402/), позволяющая в конфигурации по умолчанию организовать выполнение PHP-кода на сервере.


Интересно, что проблема оставалась неисправленной с декабря прошлого года, именно в тот момент в базовую поставку был ...

URL: http://www.h-online.com/open/news/item/Web-sites-distribute-...
Новость: http://www.opennet.dev/opennews/art.shtml?num=27971

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость в OpenX была использована для распространения вре..."  +1 +/
Сообщение от Аноним (??) on 15-Сен-10, 17:01 
А сколько через Flash-баннеры троянов распространяется страшно представить, в Adobe Flash Player каждые три месяца критические дыры находят.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Уязвимость в OpenX была использована для распространения вре..."  +3 +/
Сообщение от User294 (ok) on 15-Сен-10, 18:57 
Их там по-моему находят гораздо чаще. И, главное, абоб готов выпустить обновление только 27го. Типа посидите с дыркой пока пару недель.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Уязвимость в OpenX была использована для распространения вре..."  +/
Сообщение от vit1251 email(ok) on 15-Сен-10, 17:33 
Нечего просто пускать всех подряд разрабатывать код на PHP.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Уязвимость в OpenX была использована для распространения вре..."  +4 +/
Сообщение от User294 (ok) on 15-Сен-10, 18:56 
Мне почему-то кажется что дыры будут независимо от выбранного бакланами языка программирования :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Уязвимость в OpenX была использована для распространения вре..."  –1 +/
Сообщение от pavlinux (ok) on 15-Сен-10, 19:36 
ADA
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Уязвимость в OpenX была использована для распространения вре..."  +/
Сообщение от аноним on 15-Сен-10, 20:13 
fido
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Уязвимость в OpenX была использована для распространения вре..."  +/
Сообщение от klalafuda on 15-Сен-10, 20:39 
Да, ада, вне всяких сомнений, сильная вещь. Аргумент. Тупо потому, что 'бакланы' все равно ничего на ней не смогут написать. Это кстати те бакланы, по поводу судьбы которых так уписывался горючими слезами весь рунет включая opennet & lor. Я про пиратбей. Явно бакланы, кто ж ещё то.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Уязвимость в OpenX была использована для распространения вре..."  +/
Сообщение от pavlinux (ok) on 15-Сен-10, 21:30 
>явно бакланы, кто ж ещё то.

Им некогда, они в европарламенте думают.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Уязвимость в OpenX была использована для распространения вре..."  +/
Сообщение от Zenitur on 15-Сен-10, 20:35 
Грустно. Но выглядит как боевик :-)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Уязвимость в OpenX была использована для распространения вре..."  +/
Сообщение от TS email on 16-Сен-10, 15:05 
По недосмотру разработчиков? Хех.
Вот тот самый злосчастный ofc_upload_image.php -

$default_path = '../tmp-upload-images/';

if (!file_exists($default_path)) mkdir($default_path, 0777, true);
$destination = $default_path . basename( $_GET[ 'name' ] );.

echo 'Saving your image to: '. $destination;

$jfh = fopen($destination, 'w') or die("can't open file");
fwrite($jfh, $HTTP_RAW_POST_DATA);
fclose($jfh);

exit();

Разработчикам срочно читать "PHP|ARCHITECT’S GUIDE TO PHP SECURITY". Хотя мозг это не отменяет, да...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру