qBittorrent 14 лет был уязвим атаке man in the middle на HTTPS

0

3

В qBittorrent была закрыта 14-летняя уязвимость, связанная с некорректной проверкой SSL/TLS-сертификатов. Обновление до версии 5.0.1 устранило эту уязвтмость, которая существовала с 2010 года.

В течение этого времени программа принимала любые сертификаты, включая поддельные, что делало её уязвимой к атаке типа «человек посередине» (MitM). Это позволяло злоумышленникам незаметно изменять сетевой трафик, потенциально подвергая пользователей риску скачивания и выполнения вредоносного кода при обновлении продукта по ссылке из уведомления о выходе новой версии, а так же при загрузке бинарников Python на Windows. Уязвимость была не только теоретической, но и реализуемой на практике.

Так же отсутствие валидации сертификатов позволяло MitM подменять содержимое RSS и базы данных MaxMind Geo IP.

>>> Подробности

Ссылка

←	Вышло обновление мощного одноплатника Radxa Rock 5b+

Начался предзаказ планшетов PineNote от компании Pine64

→

← 1 2 →

Ответ на: комментарий от posixbit 02.11.24 19:35:18 MSK

Это не у тебя, ты взял этот скриншот с гитхаба :) Разве вмержили уже? Веб-морда не умеет. По крайней мере, когда я последний раз проверял.

liksys ★★★★
(02.11.24 20:19:09 MSK)
Последнее исправление: liksys 02.11.24 20:19:36 MSK (всего исправлений: 1)

Ответ на: комментарий от Clayman 02.11.24 20:14:22 MSK

да его и писать не надо. чатгпт сгенерировать может, а код поправишь немного. я не пользуюсь торрентами почти. мне то он зачем. я бы все как питоновский пакет оформил и залил в пип

rtxtxtrx ★★
(02.11.24 20:20:21 MSK) автор топика

Ответ на: комментарий от rtxtxtrx 02.11.24 20:20:21 MSK

Ну иди сгенерируй, чё ты пристал?

Clayman ★★
(02.11.24 20:32:46 MSK)

Ссылка

Ответ на: комментарий от liksys 02.11.24 20:19:09 MSK

Это не у тебя, ты взял этот скриншот с гитхаба :)

У меня точно так же.

posixbit ★★
(02.11.24 20:36:02 MSK)

Ссылка

Ответ на: комментарий от liksys 02.11.24 20:19:09 MSK

Веб-морда не умеет

Насчёт веб-морды не уверен. Я пользуюсь только transgui (Transmission Remote GUI).

posixbit ★★
(02.11.24 20:39:04 MSK)
Последнее исправление: posixbit 02.11.24 21:04:50 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от liksys 02.11.24 16:00:29 MSK

В трансшишне до сих пор нет тегов для раздач

«labels» ещё с 3 версии чем не теги? целый массив на каждый торрент, а не как это делается для rtorrent с всего пятью произвольными строкам, которые нужны ещё много для чего кроме меток.

yandrey ★★
(02.11.24 20:54:30 MSK)

14 лет это никому не всралось, еще 14 лет также бы никто не замечал потому, что никому не всралось.

bernd ★★★★★
(02.11.24 21:04:11 MSK)

Ссылка

Ответ на: комментарий от cocucka_B_TECTE 02.11.24 16:12:55 MSK

Р Е Ш Е Т О
Е Ш Е Т О Р
Ш Е Т О Р Е
Е Т О Р Е Ш
Т О Р Е Ш Е
О Р Е Ш Е Т

Smacker ★★★★★
(02.11.24 21:04:50 MSK)

Ссылка

Ответ на: комментарий от ann_eesti 02.11.24 15:55:22 MSK

давно выкинул убогий переусложнённый сабж и заменил transmission-gtk, который прекрасно выполняет свою функцию.

Ты же весь его код лично проверил на ошибки ?

vasya_pupkin ★★★★★
(02.11.24 21:06:15 MSK)

Ссылка

Ответ на: комментарий от maxcom 02.11.24 15:03:41 MSK

То есть это означает, что им можно продолжать пользоваться?

EnterpriseTestAuto
(02.11.24 21:07:04 MSK)

Ответ на: комментарий от ann_eesti 02.11.24 15:55:22 MSK

не использую убогий нефункциональный и упрощенный до отупения трансмишон

bernd ★★★★★
(02.11.24 21:07:47 MSK)

Ссылка

Ответ на: комментарий от yandrey 02.11.24 20:54:30 MSK

Хорошо, а веб-то их поддерживает?

liksys ★★★★
(02.11.24 21:08:29 MSK)

Ответ на: комментарий от liksys 02.11.24 21:08:29 MSK

Оригинальная вебморда на 4.0 версии только показывает метки, без возможности добавлять и фильтровать по ним, там вообще сплошной минимализм, она совсем не подходит для большого количества раздач. Есть альтернативные, которые все поддерживают на уровне штатных для transmission lables.

yandrey ★★
(02.11.24 21:18:59 MSK)

Ответ на: комментарий от EnterpriseTestAuto 02.11.24 21:07:04 MSK

Да, особенно, когда о ней узнали все те, кому и не нужно… Пользователям дебиано-штабеля можно не беспокоиться, их система и так как дуршлаг

rtxtxtrx ★★
(02.11.24 21:40:56 MSK) автор топика

Ответ на: комментарий от yandrey 02.11.24 21:18:59 MSK

Спасибо, попробую в следующий раз перейти. А то меня малость доколебал XML-RPC в rtorrent с его приколами на больших раздачах.

liksys ★★★★
(02.11.24 21:42:51 MSK)
Последнее исправление: liksys 02.11.24 21:43:00 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от rtxtxtrx 02.11.24 21:40:56 MSK

Доктор, а скачивание торрентов BitTorrent ом в SandboxiePlus, это паранойя граничащая с шизофазией? Или все таки адекватные методы защиты хостовлй ОС?

EnterpriseTestAuto
(02.11.24 21:49:57 MSK)

Ответ на: комментарий от EnterpriseTestAuto 02.11.24 21:49:57 MSK

Используй Flatpak и Snap — это лучшие вещи, которые придумали в линуксах

rtxtxtrx ★★
(02.11.24 21:56:30 MSK) автор топика

Ответ на: комментарий от rtxtxtrx 02.11.24 21:40:56 MSK

Вы так говорите говорите как будто это плохо

EnterpriseTestAuto
(02.11.24 21:56:34 MSK)

Ссылка

Ответ на: комментарий от rtxtxtrx 02.11.24 21:56:30 MSK

Вы так говорите, как будто не умеете гуглить SandboxiePlus

EnterpriseTestAuto
(02.11.24 21:59:02 MSK)

Ссылка

Ту, и стоило то из-за такой мелочи новость пилить. Вон вышел бы новый релиз, там бы и помянули в списке багфиксов.
Кстати, 28 числа вон уже 5.0.1 релизнули, а я все на 4.5.2

sehellion ★★★★★
(02.11.24 23:20:46 MSK)

Ссылка

Ответ на: комментарий от Clayman 02.11.24 16:10:06 MSK

У меня на разных интернетах то нормально работает qbittorrent, то deluge. Не разбирался, почему так. Ещё qbittorrent получше работает в ситуации, когда из-за шейпинга торрент-трафика провайдером я пускаю его через vps, у которого заблочен dht, - нахожу пиры без прокси, потом включаю трафик через socks5, qbittorrent получше переключается на найденных пиров, хотя тоже не идеально. Ещё у qbittorrent есть фича последовательного скачивания, - часто полезно на медленных интернетах.

Sorcerer ★★★★★
(03.11.24 00:15:13 MSK)
Последнее исправление: Sorcerer 03.11.24 00:16:09 MSK (всего исправлений: 1)

потенциально подвергая пользователей риску скачивания и выполнения вредоносного кода при обновлении продукта по ссылке из уведомления о выходе новой версии

виндузятников проблемы

а так же при загрузке бинарников Python на Windows

как же "так же"? и опять виндузятников проблемы
зачем это на лоре?

подменять содержимое RSS

казалось бы, при чем тут торрент-клиент?

и базы данных MaxMind Geo IP

это, типа, чтобы в списке пиров флажки других стран показывались? какой кошмар!

А мне кажется, это не баг а фича. Специально сделали, чтобы не мучаться с сертификатами.

вот! в говнобраузерах бы еще так! сделали бы кнопочку "решето", чтобы включала режим "класть на все сертификаты и всю эту муть"! а то задолбали со своей безопасностью и шифрованием всего и вся.

PerdunJamesBond ★
(03.11.24 00:40:30 MSK)