). Das in solchen Scripten immer wieder mal Sicherheitslücken entdeckt werden ist ja normal, aber diese sind schon heftig und es gibt leider keine offizielle Stellungnahme vom Hersteller und auch keine Patches oder Workarounds.Da ich OpenX gerne verwende um Kampagnen zu optimieren und die CTR der Werbemittel durch A-B Tests zu verbessern ist das für mich natürlich eine schlimme Nachricht. Denn meine Server möchte ich damit nicht in Gefahr bringen! Darum habe ich selbst mal nachgeforscht und im Community Forum einen interessanten Hinweis gefunden. Demnach betreffen die meisten Probleme das Backend. Da man das mit einer .htaccess Datei recht einfach vor "fremden Blicken" schützen kann ist das für mich keine Problem mehr!
Für das Frontend kann man in der Datei /www/delivery/fc.php die Zeile
$tagName = $_GET[$MAX_PLUGINS_AD_PLUGIN_NAME];
durch
$tagName = basename($_GET[$MAX_PLUGINS_AD_PLUGIN_NAME]);
ersetzen.
Habe den Tipp befolgt und zumindest funktioniert noch alles so wie es soll
Hoffentlich gibt es dann auch bald mal ein offizielles Update was OpenX sicher macht...Achtung: Änderungen auf eigene Gefahr!!
