Petteri Pyyny
12. syyskuuta, 2010 14:19
Maailman yhdessä käytetyimmistä mainospalvelimista, avoimen lähdekoodin OpenX -palvelimessa on paikkaamaton turvallisuusaukko, joka keskeytti AfterDawnin mainosten välityksen tänään useamman tunnin ajaksi. Tilanne kosketti kaikkia AfterDawnin ylläpitämiä sivustoja, niin suomeksi, englanniksi kuin muillakin kielillä.
Aukkoa käytettiin tiettyjen mainospalvelimen tiedostojen muokkaamiseen ja tämän seurauksena mainosten välitys sivuillamme loppui kokonaan. Mainospalvelimemme on kokonaan muusta järjestelmästämme riippumaton palvelin, joten mitkään muut AfterDawnin osat (kuten varsinaiset web-palvelimet tai tietokanta) eivät auenneet tunkeutujille.
Turvallisuusaukko liittyy OpenX:n käyttämään Open Flash Cart 2-komponenttiin, eikä niinkään itse OpenX:ään itseensä. Aukko on ollut tiedossa jo pidemmän aikaa, mutta sitä ei ole jostain syystä paikattu. Aukon vaikutuksista OpenX:ään -- sekä ohjeet paikan korjaamiseksi ja mahdollisesti jo syntyneiden ongelmien korjaamiseksi -- löytyvät mm. kreativraushen.com:n blogista.
AfterDawnin tapauksessa tunkeutumisen johdosta mainospalvelin vain lopetti toimintansa eikä toimittanut käyttäjille lainkaan mainoksia. Palvelin palautti Chromella "Error 330: (net::ERR_CONTENT_DECODING_FAILED): Unknown error" -virheilmoituksen ja Firefoxilla "Content Encoding Error: The page you are trying to view cannot be shown because it uses an invalid or unsupported form of compression" -virheilmoituksen.
Mainospalvelin on nyt uudelleenasennettu, turvallisuusaukko on paikattu (meidän osaltamme) ja kaikki tunkeutujan tekemät muutokset palveluun on poistettu järjestelmästä. Pahoittelemme tästä mahdollisesti aiheutunutta vaivaa niin käyttäjillemme kuin mainostajillemmekin.
Mikäli ylläpidät OpenX -järjestelmää oman verkkosivusi mainospalvelimena tai tunnet henkilön, joka käyttää OpenX:ää mainospalvelimenaan, suosittelemme paikkaamaan em. turvallisuusaukon välittömästi.