qBittorrent 14 лет был уязвим атаке man in the middle на HTTPS

0

3

В qBittorrent была закрыта 14-летняя уязвимость, связанная с некорректной проверкой SSL/TLS-сертификатов. Обновление до версии 5.0.1 устранило эту уязвтмость, которая существовала с 2010 года.

В течение этого времени программа принимала любые сертификаты, включая поддельные, что делало её уязвимой к атаке типа «человек посередине» (MitM). Это позволяло злоумышленникам незаметно изменять сетевой трафик, потенциально подвергая пользователей риску скачивания и выполнения вредоносного кода при обновлении продукта по ссылке из уведомления о выходе новой версии, а так же при загрузке бинарников Python на Windows. Уязвимость была не только теоретической, но и реализуемой на практике.

Так же отсутствие валидации сертификатов позволяло MitM подменять содержимое RSS и базы данных MaxMind Geo IP.

>>> Подробности

Ссылка

←	Вышло обновление мощного одноплатника Radxa Rock 5b+

Начался предзаказ планшетов PineNote от компании Pine64

→

← 1 2 →

Лютая желтизна.

intelfx ★★★★★
(02.11.24 14:28:57 MSK)

Классика: https://crypto.stanford.edu/~dabo/pubs/abstracts/ssl-client-bugs.html

maxcom ★★★★★
(02.11.24 14:35:16 MSK)
Последнее исправление: maxcom 02.11.24 14:35:36 MSK (всего исправлений: 1)

Ссылка

Проприетарный юторрент - подержи мой walware

ConLenov ★★★★★
(02.11.24 14:48:41 MSK)

Ссылка

14 лет хакер Вася скачивающим исошники новой винды подменял их на Debian, и они так и думали что это новая эксклюзивная винда.

alt-tab-let ★★
(02.11.24 14:54:28 MSK)

Ссылка

Р Е Ш Е Т О !
Е
Ш
Е
Т
О
!

thunar ★★★★★
(02.11.24 14:56:40 MSK)

это просто мера заинтересованности в проекте :)

pfg ★★★★★
(02.11.24 14:57:29 MSK)

Ссылка

Это всё, конечно, интересно, но... 2010 был 14 лет назад?!

kas501 ★★★
(02.11.24 15:02:20 MSK)

Ответ на: комментарий от kas501 02.11.24 15:02:20 MSK

Это всё, конечно, интересно, но… 2010 был 14 лет назад?!

2010 появилась уязимость, зафиксили только сейчас в октябре 2024.

maxcom ★★★★★
(02.11.24 15:03:41 MSK)

Ответ на: комментарий от kas501 02.11.24 15:02:20 MSK

Да

tempUser
(02.11.24 15:03:43 MSK)

Ссылка

Ответ на: комментарий от kas501 02.11.24 15:02:20 MSK

Противоречия нет, до обнаружения уязвимость некоторое время существует, и к сожалению активно ее юзают всякие бяки и бармалеи

I-Love-Microsoft ★★★★★
(02.11.24 15:05:08 MSK)
Последнее исправление: I-Love-Microsoft 02.11.24 15:05:40 MSK (всего исправлений: 1)

Ссылка

Ну вот тоже пример, ужасная уязвляющая уязвимость безопасной безопасности существует 14 лет. И что? Да ничего.

Продолжаем испуганно бояться опасного небезопасного мира, не расслабляемся.

thesis ★★★★★
(02.11.24 15:11:27 MSK)

просто не надо сношаться файлами по энторнету со всеми подряд.

alysnix ★★★
(02.11.24 15:11:41 MSK)

Ссылка

https://github.com/qbittorrent/qBittorrent/pull/21364

Самое страшное здесь - отстутсвие валидации сертификатов в поисковых плагинах, содержащих, например логопасы от приватных трекеров. Но даже при невозможности обновления закрывается использованием jackett.

GLaDOS ★
(02.11.24 15:13:57 MSK)

Ссылка

Ответ на: комментарий от thesis 02.11.24 15:11:27 MSK

Файл скачали через торрент, проверили контрольку отдельно

I-Love-Microsoft ★★★★★
(02.11.24 15:14:32 MSK)

Ссылка

Ответ на: комментарий от thesis 02.11.24 15:11:27 MSK

Только что осознал, что не помню, когда последний раз пользовался торрентом. Точно помню, что я какой-то дистр качал, но не то, что год, век назвать затрудняюсь.

alt-tab-let ★★
(02.11.24 15:14:41 MSK)

Ответ на: комментарий от alt-tab-let 02.11.24 15:14:41 MSK

А я пользуюсь, и именно сабжем. Боже, я был на волосок от катастрофы. Щас допью второй флакон боярышника и побегу по психологам.

thesis ★★★★★
(02.11.24 15:18:26 MSK)

Ссылка

А мне кажется, это не баг а фича. Специально сделали, чтобы не мучаться с сертификатами.

m0xf ★
(02.11.24 15:49:40 MSK)

Ссылка

давно выкинул убогий переусложнённый сабж и заменил transmission-gtk, который прекрасно выполняет свою функцию.

ann_eesti
(02.11.24 15:55:22 MSK)

Ответ на: комментарий от ann_eesti 02.11.24 15:55:22 MSK

В трансшишне до сих пор нет тегов для раздач, что очень неудобно, если у тебя несколько сотен раздач. Меня в свое время это остановило от перехода на него с rtorrent. А теперь в rtorrent уже нормальную клиент-серверность завезли.

liksys ★★★★
(02.11.24 16:00:29 MSK)

Хм, интересно, какая у меня сейчас версия стоит? 🤔 Приеду домой, надо будет чекнуть.

UriZzz ★
(02.11.24 16:01:11 MSK)

Ссылка

Пользовался с самого начала проекта и ни одного взлома не ощутил. Да уж … повезло так повезло!

Desmond_Hume ★★★★★
(02.11.24 16:02:35 MSK)

Ссылка

Кроме deluge ничего больше не нужно.

Clayman ★★
(02.11.24 16:10:06 MSK)

Единственное, что можно в такой уязвимости подменить - это RSS и GeoIP. Торренты так не подменить, так как они по определяются хешем! Именно поэтому большинство трекеров не имеют HTTPS вовсе, поэтому торрент клиенты, когда обмениваются информацией, используют голый HTTP и UTP.

realbarmaley ★★
(02.11.24 16:12:47 MSK)

Ответ на: комментарий от thunar 02.11.24 14:56:40 MSK

Р Е Ш Е Т О !
Е Е       О О
Ш   Ш   Т   Т
Е     Е     Е
Т   Т   Ш   Ш
О О       Е Е
! О Т Е Ш Е Р

cocucka_B_TECTE ☆
(02.11.24 16:12:55 MSK)

Ответ на: комментарий от realbarmaley 02.11.24 16:12:47 MSK

Тихо! Пусть белки-истерички продолжают орать.

devl547 ★★★★★
(02.11.24 16:19:32 MSK)

Ссылка

Возможно, поэтому он так хорошо работал через прокси? :)

question4 ★★★★★
(02.11.24 16:30:14 MSK)

Ссылка

Не, всё равно не повод срочно бежать обновляться. Тем более там вроде qt6.

Торрент-клиент это последнее от чего я жду безопастного контента.

kirill_rrr ★★★★★
(02.11.24 16:33:25 MSK)

Ссылка

Ответ на: комментарий от realbarmaley 02.11.24 16:12:47 MSK

Торренты так не подменить, так как они по определяются хешем!

А если поисковик в клиенте, и клиент скачивает торрент, и раздача с 1 сидом — можно?

question4 ★★★★★
(02.11.24 16:36:40 MSK)

Ответ на: комментарий от question4 02.11.24 16:36:40 MSK

Да. Ну если тебе инфохеш подменят в поисковике, то есть ты скачаешь не то, что хотел. Но для этого не надо MiTM устраивать, достаточно неправильное описание в поисковике написать =)

realbarmaley ★★
(02.11.24 16:37:41 MSK)
Последнее исправление: realbarmaley 02.11.24 16:38:31 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от cocucka_B_TECTE 02.11.24 16:12:55 MSK

РЕШЕШЕР, ОТЕТО!!

djoe ★★★
(02.11.24 16:45:37 MSK)

Ссылка

т.е. он сейчас тоже начнет срать сообщениями, что соединение не защищено?

daminatorus ★★
(02.11.24 17:24:32 MSK)

Ссылка

Ответ на: комментарий от ann_eesti 02.11.24 15:55:22 MSK

Ещё бы это чудо нормально качало… В qbittorrent открыл раздачу и всё пошло. А в transmission тот же торрент показывает нулевую скорость.

user_x
(02.11.24 18:08:46 MSK)
Последнее исправление: user_x 02.11.24 18:09:06 MSK (всего исправлений: 1)

Ссылка

Последний раз пользовался торрентом году в 2008, для меня это всегда была сеть для пиратки.

seiken ★★★★★
(02.11.24 18:21:58 MSK)

Шерето!!!!11

sparkie ★★★★★
(02.11.24 18:26:28 MSK)

Ссылка

Ответ на: комментарий от Clayman 02.11.24 16:10:06 MSK

Он на Python, поэтому выкидывай

X-Pilot ★★★★★
(02.11.24 18:40:52 MSK)

Ответ на: комментарий от X-Pilot 02.11.24 18:40:52 MSK

А пофиг, архитектурно ниче лучше не придумали. Толстый и тонкий клиент, плагины, мультиюзер. Больше никто такого не умеет.

Clayman ★★
(02.11.24 18:51:46 MSK)

Ответ на: комментарий от intelfx 02.11.24 14:28:57 MSK

В чем именно желтизна? Как минимум это есть на cve.org. Странно, что в ньюсах кубита нет ни слова об этом.

Gonzo ★★★★★
(02.11.24 19:02:12 MSK)

Ответ на: комментарий от seiken 02.11.24 18:21:58 MSK

Будто что-то плохое.

token_polyak ★★★★★
(02.11.24 19:03:55 MSK)

Ссылка

Ответ на: комментарий от Gonzo 02.11.24 19:02:12 MSK

Желтизна была в исходном варианте текста новости.

intelfx ★★★★★
(02.11.24 19:11:28 MSK)

Ответ на: комментарий от Clayman 02.11.24 18:51:46 MSK

Imho, сейчас лучший клиент - это Tixati :( Сам был нефанатом закрытого клиента, но судя по всему, у него лучший netcode: он действительно может найти пиров, когда другие клиенты не могут (по меньшей мере, Transmission)...

X-Pilot ★★★★★
(02.11.24 19:25:23 MSK)

уязвтмость

arcanis ★★★★
(02.11.24 19:26:02 MSK)

Ответ на: комментарий от intelfx 02.11.24 19:11:28 MSK

Ясно. Не видел.

Gonzo ★★★★★
(02.11.24 19:27:14 MSK)

Ссылка

уязвтмость

Проверено: maxcom

Vilicus ★
(02.11.24 19:31:34 MSK)

Ссылка

Ответ на: комментарий от liksys 02.11.24 16:00:29 MSK

В трансшишне до сих пор нет тегов для раздач, что очень неудобно, если у тебя несколько сотен раздач

Чего-чего? Почему у меня есть?

posixbit ★★
(02.11.24 19:35:18 MSK)

Ответ на: комментарий от arcanis 02.11.24 19:26:02 MSK

уязвим атаке

thesis ★★★★★
(02.11.24 19:44:01 MSK)

Ответ на: комментарий от thesis 02.11.24 19:44:01 MSK

Голактеко опасносте

Gonzo ★★★★★
(02.11.24 19:46:02 MSK)

Ссылка

Ответ на: комментарий от X-Pilot 02.11.24 19:25:23 MSK

У него нет всех перечисленных мной достоинств и есть уродский интерфейс.

Clayman ★★
(02.11.24 19:59:23 MSK)

Вау. Т.е. если обновлять через офф репы дистра, то что? Газифицировали лужу?

BceM_IIpuBeT ★★☆☆☆
(02.11.24 20:11:13 MSK)

Ссылка

Ответ на: комментарий от Clayman 02.11.24 19:59:23 MSK

Я за то чтобы написать что-то на электроне с использованием Vue.js или просто браузерный торрент клиент (cli тоже через запуск сервера работает)

rtxtxtrx ★★
(02.11.24 20:11:18 MSK) автор топика

Ответ на: комментарий от rtxtxtrx 02.11.24 20:11:18 MSK

Напиши.

Clayman ★★
(02.11.24 20:14:22 MSK)

Для того чтобы оставить комментарий войдите или зарегистрируйтесь.

← 1 2 →

←	Вышло обновление мощного одноплатника Radxa Rock 5b+

Безопасность

Начался предзаказ планшетов PineNote от компании Pine64

→

Похожие темы