A libtorrent egy nyílt forráskódú C++ bittorrent library, amit számos asztali alkalmazás és beágyazott szoftver is előszeretettel használ.
A hiba érint minden olyan szoftvert ami a libtorrent 0.14.3-at vagy annál régebbi verzióját használja. Támadható tehát többek között a firetorrent, a qBittorrent és a deluge Torrent is. A teljes lista a fejlesztő, a Rasterbar Software oldalán olvasható.
A hibás kódrészlet
A hiba segítségével a támadó képes tetszőleges fájl, illetve könyvtár felülírására, amiket az alkalmazás jogosultságaival elér. A hiba részletes leírását itt, a javított verziót pedig itt találjátok meg.
június 9, 2009 at 14:04 du.
Na igen, ilyen az, amikor a mindenféle opensource sw ugyanazt a bugos libet használja, éljen a szabad választás 😉
Ettől függetlenül az open source az jó dolog. (Nem, nem azért, mert kiderülnek az ilyenek. Azok kód nélkül is kiderülnek, de tényleg ne menjünk bele itt is az open source-free software-proprietary sw vitába. jó? lécciléccilécci)
június 9, 2009 at 16:26 du.
decsunyánprogramoz :-/
június 9, 2009 at 17:28 du.
Hát igen, ez benne van a pakliban, ha valaki programoz és annál is, aki torrentprogramot használ. Csak az hibázik, aki dolgozik, aki nem csinál semmit, annak könnyű kritizálni mások munkáját.
június 9, 2009 at 18:53 du.
sztem direkt volt..
június 9, 2009 at 19:28 du.
Root pass nélkül nem sok kárt tehet.
június 9, 2009 at 19:40 du.
@s: Amúgy én is open-source párti vagyok, de elismerem hogy vannak hátrányai is. Pl. olyan dolgokat is átírhat az emberfia, amit nem szabadna. Konkrétan libtorrentnél maradva pl ilyeneket:
s << “&uploaded=” <uploaded_adjusted()
június 9, 2009 at 20:07 du.
“Root pass nélkül nem sok kárt tehet.”
+1 pontosan.
június 9, 2009 at 21:58 du.
@troll, @uto-pista: muhahahaha… Csak hiszitek. Elég, ha mondjuk beleír a ~/.bashrc -be, ami azért elég jellemző egy linuxon. Vagy csinál egy saját .xinitrc-t. Wget-l leránt valami local root exploitot, oszt’ csókolom, máris átjáróház a gép. De akár seperc alatt össze lehet ütni egy olyan sudo -nak látszó scriptet, ami lecseréli a rendest, és egészen addig fut az, míg nem kap egy jó jelszót. (megintcsak elég a ~/.bashrc) És akkor még csak még mindig csak a libtorrent adta lehetőségeket használtuk ki.
A unixok és unix szerű rendszerek se csodaszerek, csak mert nem a microsoft készíti őket.
És nem tudom, hogy vagytok vele, de nekem nagyobb kár az, ha lelopkodják az adataim, minthogy összedöntik a rendszerem.
@s: egyébként valóban, bár nekem már kellett csúnyábbat is elkövetnem sajna.
június 10, 2009 at 11:13 de.
rtorrenttel mi a helyzet? Nincs bent a listában, de ahogy nézem, ők egy másik libtorretntet használnak, szóval azt nem érinti?
június 10, 2009 at 11:38 de.
hát, enélkül a hiba nélkül is megfertőződhet vki…
június 12, 2009 at 9:35 de.
Ez tényleg gáz, de még mindig nem akkora mint a Transmission legújabb 1.71-es verziója. Ott ugyanis az x86-os alaplapok esetében az új verzió tökéletesen kapcsolódik a trackerhez, de se le, sem feltölteni nem lehet vele. (a 64bites alaplapok esetében nincs semmi gond, nyugodtan telepíthetitek) Éppen most jeleztem a transmission irc csatornáján a hibát, amit vissza is igazoltak. a fórumrészben is többen jelezték már -mint írták… Majd kijavítják. Szóval csak az nem hibázik aki nem csinál semmit… És, bár ez egy elég durva hiba, de vajon hányan írnak a zárt forráskóddal írt programok hibáiról a fejlesztők felé. De, még ha írnak is, sokszor semmibe veszik őket…Sajnos.