Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Transmission-bittorrentclient werkt aan patch voor rce-lek

De ontwikkelaars van de bittorrentclient Transmission werken aan een patch voor een rce-lek, dat door een onderzoeker van Googles Project Zero is gevonden. Hij demonstreerde een aanval via een kwaadaardige site op de webinterface van de client.

Tavis Ormandy, de onderzoeker die de kwetsbaarheid vond, schrijft dat een aanvaller via een kwaadaardige website toegang kan krijgen tot de webinterface van een Transmission-gebruiker, die alleen via localhost bereikbaar zou moeten zijn. Door gebruik te maken van een techniek die bekendstaat als dns rebinding, toont Ormandy aan dat hij de Transmission-instellingen kan wijzigen en bijvoorbeeld een bepaald script kan draaien zodra een torrent is gedownload. In een gepubliceerde demo van de aanval meldt de onderzoeker dat deze ongeveer vijf minuten in beslag neemt. De aanval zou werken in Chrome en Firefox op zowel Windows als Linux. De macOS-versie is ook kwetsbaar, zo achterhaalde een tweaker.

Inmiddels heeft het lek het kenmerk CVE-2018-5702 gekregen en is de patch gemerged, zo blijkt uit de GitHub-pagina van Transmission. Het lijkt erop dat de patch zal uitkomen in versie 2.93 van de software. Die is momenteel nog niet beschikbaar. Een lid van het ontwikkelaarsteam zegt tegen Ars Technica dat alleen gebruikers kwetsbaar zijn die Transmission met toegang op afstand en zonder wachtwoordbeveiliging gebruiken.

Ormandy meldt dat hij de ontwikkelaars een patch heeft gestuurd op 1 december, maar dat deze vorige week nog steeds niet was toegepast. Hij uit zijn frustratie over het feit dat dit zo lang duurt en zegt dat opensourceprojecten er vaak uren over doen om een patch toe te passen en niet maanden. De onderzoeker laat via Twitter weten dat hij ook rce-lekken in andere bittorentclients heeft gevonden, maar dat deze nog niet publiek zijn, omdat Project Zero een deadline van negentig dagen hanteert.

Door

Nieuwsredacteur

59 Linkedin Google+

Reacties (59)

Wijzig sortering
Transmission-bittorrentclient werkt aan patch
Gaat het nou om de client of de server? Want de server is in feite een BT-client. De client is nml al jaren niet meer geupdate, terwijl de server nog wel af en toe een update krijgt.

[Reactie gewijzigd door _Thanatos_ op 6 februari 2018 13:39]

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*