OpenX, un logiciel Open Source destiné aux régies publicitaires, embarquait une porte dérobée depuis sept mois. Si vous avez téléchargé la version binaire 2.8.10 ces derniers mois, il est urgent de la mettre à jour en 2.8.11. A noter cependant que seule la version Open Source est concernée, et non les versions commerciales du même produit.

Les pirates avaient remplacé deux fichiers de la solution légitime par les mêmes… mais qui contenaient une vulnérabilité exploitable à distance. Grâce à cela ils pouvaient exécuter du code PHP arbitraire sur le serveur qui héberge la régie publicitaire, et donc en prendre le contrôle.

Les serveurs de publicité en ligne sont des cibles de choix pour les pirates, car ils permettent de distribuer ensuite des publicités piégées au plus grand nombre.