查看: 2635|回复: 12
收起左侧

[软件相关] qBittorrent长达14年的漏洞使数百万用户面临RCE攻击风险

[复制链接]
mofeisi71
发表于 2024-11-1 19:48:35 | 显示全部楼层 |阅读模式
       概要:      
       近日,Sharp Security揭示了一个在流行的torrent客户端qBittorrent中存在超过14年的严重漏洞,导致无数用户面临潜在的网络攻击风险。该漏洞源于软件的DownloadManager类,自2010年4月6日起,未能验证SSL证书的有效性,允许任何SSL证书通过,给攻击者提供了可乘之机。
       主要内容:      
       该漏洞的影响深远,DownloadManager类涉及qBittorrent的多个核心功能,包括搜索、.torrent下载、RSS源和favicon下载等。由于未验证的SSL证书,攻击者能够实施中间人攻击(MITM),拦截并篡改流量,从而获取敏感数据或在合法下载的幌子下安装恶意代码。

       此外,qBittorrent在Windows系统中安装或更新Python的机制也存在安全隐患,因其从硬编码的URL下载可执行文件,历史上缺乏安全证书检查,攻击者可以替换Python安装程序为恶意可执行文件,导致远程代码执行(RCE)风险。qBittorrent的更新检查器利用来自硬编码URL的RSS源下载XML数据,用户被引导访问未验证的网站以获取更新软件,这种设置曾被利用进行浏览器劫持和下载伪装更新的文件。

       Sharp Security还指出,qBittorrent的默认功能会从固定URL下载并解压MaxMind GeoIP数据库,增加了零点击漏洞的风险。考虑到zlib压缩库中的已知缓冲区溢出漏洞,这一功能仍然是攻击者利用的关键风险。随着qBittorrent 5.0.1版本开始强制SSL证书验证,用户应立即升级到最新版本,或考虑使用不具备此漏洞行为的替代torrent客户端,如Deluge或Transmission。

https://ti.dbappsecurity.com.cn/info/8414

以下为技术探讨资料,请勿用于非法攻击:
https://sharpsec.run/rce-vulnerability-in-qbittorrent/


评分

参与人数 2人气 +2 收起 理由
ziqianweiyang + 1 感谢提供分享
白露为霜 + 1 --------

查看全部评分

xfmc
发表于 2024-11-16 22:25:11 | 显示全部楼层
认真学习了,谢谢!
cfdiyr
发表于 2024-11-19 04:43:28 | 显示全部楼层
解决方法呢?出问题解决呗。
mofeisi71
 楼主| 发表于 2024-11-19 14:02:25 | 显示全部楼层
cfdiyr 发表于 2024-11-19 04:43
解决方法呢?出问题解决呗。

参考最后一段
con16
发表于 2024-11-19 15:54:50 | 显示全部楼层
本帖最后由 con16 于 2024-11-19 15:56 编辑

之前qBittorrent 5.0也說有修,不過該版本有bug會崩潰
目前不建議用舊版風險高。

如文章講的建議升級最新版,最新版本是5.0.2
winston2008
头像被屏蔽
发表于 2024-11-22 16:14:04 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
minimini
发表于 2024-12-3 21:34:07 | 显示全部楼层
bug很值钱 不能浪费在无效对象上
被屏蔽了吗
发表于 2024-12-5 21:23:38 | 显示全部楼层
学习一下,现在监控的真的多。
SHXYZW
发表于 2024-12-6 15:06:18 | 显示全部楼层
这么久了,是漏洞还是后门啊?
不喜抽烟
发表于 2024-12-6 18:35:13 | 显示全部楼层
联网的软件或多或少都有漏洞吧,尤其那些有局域网分享,远程控制之类的,要的权限多了,难免有管不住的。就像淘宝微信,说开启内存读取是为了方便你上传,谁知道他还扫描你文件,扫描完还干了什么。windows权限不如别的系统,读取写入还是默认的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-15 01:19 , Processed in 0.117573 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表