アカウント名:
パスワード:
記事で書かれているOpenXの脆弱性は、ビデオプラグインに関するもので、ofc_upload_image.phpというコードが、ユーザ認証もなしで、実行可能スクリプトもサーバー上に保存できるというもののようです。対応としては、admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php のファイルを消すだけということですので非常に簡単なように見えますが、実行可能スクリプトを好きにuploadできるということは、既に脆弱性を突かれた大元の広告サーバーについては、該当ファイルを消したとしても他のサーバー内のファイルは信用できないということになります。もしこの脆弱性が突かれていたとしたら、MicroAD社のサービスを切り離すのは正解でしょう。
また、今回の問題がこの脆弱性に起因するものでなかったとしても、この脆弱性が残るOpenXを使用しているサイトには同じ騒動を起こさせることが可能かと思いますので、広告関連の業界の方はチェックが必要でしょう。
GIGAZINE は VASCO を使っていたようです。
http://gigazine.net/index.php?/news/comments/20100927_security_tool/ [gigazine.net]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
OpenXの脆弱性 (スコア:5, 参考になる)
記事で書かれているOpenXの脆弱性は、ビデオプラグインに関するもので、ofc_upload_image.phpというコードが、ユーザ認証もなしで、実行可能スクリプトもサーバー上に保存できるというもののようです。対応としては、admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php のファイルを消すだけということですので非常に簡単なように見えますが、実行可能スクリプトを好きにuploadできるということは、既に脆弱性を突かれた大元の広告サーバーについては、該当ファイルを消したとしても他のサーバー内のファイルは信用できないということになります。もしこの脆弱性が突かれていたとしたら、MicroAD社のサービスを切り離すのは正解でしょう。
また、今回の問題がこの脆弱性に起因するものでなかったとしても、この脆弱性が残るOpenXを使用しているサイトには同じ騒動を起こさせることが可能かと思いますので、広告関連の業界の方はチェックが必要でしょう。
Hauncon
Re:OpenXの脆弱性 (スコア:1, 興味深い)
気になるのは、以前はVASCOを使っていたのかということ。
つまり、以前はVASCOと共に併用していて、今回VASCOを外した結果なのか、それとも以前からVASCOは使っておらず、MicroADとは別のOpenXを使ったシステムで、MicroADと同じ攻撃を受けた結果だったのか、と言う所。
確たる情報もなく、憶測でしかありませんが、概ね同じ頃に影響を受け、比較的短時間で復旧しているっぽいので、前者なかと思っていました。
しかし、事が起こる前の事は確認のしようがないし、中の人じゃないと実際の所は分からないと。
そういえばWeb魚拓ってありましたね。
ギガジンのは残ってないのですが、ライフハッカーの方はありました。
http://megalodon.jp/2010-0718-1818-42/www.lifehacker.jp/2010/07/100716virutalbox.html
#事件の後ですし閲覧はご注意を。
このソースを見るかぎりVASCOを使用しているような所はありません。
もしかして後者だったのでしょうか?
#実際は自社広告システムで各社のサービスに振り分けているだけかもしれませんが。
※以上については過分に憶測が入ってます。
GIGAZINE (スコア:1)
GIGAZINE は VASCO を使っていたようです。
http://gigazine.net/index.php?/news/comments/20100927_security_tool/ [gigazine.net]
Re: (スコア:0)