Kwetsbaarheid in uTorrent-client lijkt na patch nog niet te zijn verholpen

Een door Google gevonden lek in uTorrent dat volgens de ontdekker een website in staat stelt code uit te voeren en waarvoor BitTorrent een patch heeft uitgebracht, lijkt daarmee nog niet te zijn verholpen. Een soortgelijk lek kwam onlangs voor in torrentclient Transmission.

Het lek werd gevonden door Google-onderzoeker Tavis Ormandy, die eerder ook een lek bij Transmission vond. Net als bij deze torrentclient, maakt de onderzoeker gebruik van dns rebinding om zijn aanval uit te voeren. Volgens Ars Technica heeft Dave Rees van BitTorrent in een verstuurde e-mail aangegeven om de laatste bètaversie van de uTorrent-desktopclient te downloaden, waarin de kwetsbaarheid zou zijn gefikst. Het gaat zowel om de desktopclient als de webversie van uTorrent.

Tavis Ormandy liet eerder op Twitter weten dat de patch van BitTorrent het dns rebinding-probleem niet heeft opgelost en enkel bewerkstelligde dat zijn eigen exploit niet meer werkte. Later meldde de onderzoeker dat hij zijn exploit weer werkend had gekregen, waarbij hij gebruikers oproept om BitTorrent te vragen het probleem op te lossen.

Door een doelwit dat de software heeft geïnstalleerd naar een speciale website te lokken, is het volgens Ormandy mogelijk om via die site met localhost te communiceren om zo commando's uit te voeren en bijvoorbeeld een exploit te downloaden. De Google-onderzoeker heeft verschillende keren een proof-of-concept gepubliceerd. Hij wees BitTorrent vorig jaar november al op de kwetsbaarheid, maar gaf eind januari al aan dat BitTorrent het niet erg serieus leek te nemen.

IT-banen

Reacties (70)

jozakin 21 februari 2018 08:00

Qbittorent is the new uTorrent. Heeft deze ook last van deze kwetsbaarheid?

[Reactie gewijzigd door jozakin op 23 juli 2024 04:56]

Oefshakalaka @jozakin • 21 februari 2018 10:12

Met Qbittorrent is mijn ervaring dat de snelheid (extreem) schommelt, zelfs bij breed beschikbare torrents zoals Ubuntu. Bij uTorrent is de snelheid veel stabieler en hoger bij dezelfde torrents. Zou graag gebruik maken van Qbittorrent, helemaal als er sprake is van een beveiligingslek bij uTorrent, maar ik merk dat het snelheidsverschil veel te hoog is.

guillaume @Oefshakalaka • 21 februari 2018 11:22

Probeer µTP uit te zetten in QBittorrent (dus TCP only). Bij mij scheelde dit enorm veel, al helemaal via een VPN.

Boekenkaft @guillaume • 21 februari 2018 13:29

Net getest. Een tijdje laten lopen met TCP only. Na ca 10 minuten constant 4 peers. Geschatte downloadtijd 8 uur. Nu µTP ingeschakeld en snelheid schoot omhoog. Nu 11 peers en binnen 5 minuten stond het bestand op mijn schijf. Getest met qBittorrent 4.04 via VPN.

Conclusie: uitschakelen van µTP geeft hier een aanzienlijke vertraging...

Zeer lang fan geweest van µTorrent, maar sinds elke maand een nieuwe versie opgedrongen werd en bij die installatie een webpagina geopend werd, is mijn vertrouwen tot een dieptepunt gedaald.
Sinds enkele maanden gebruik ik qBittorrent en ben zéér tevreden. Aanrader.

[Reactie gewijzigd door Boekenkaft op 23 juli 2024 04:56]

guillaume @Boekenkaft • 21 februari 2018 14:40

µTP gaat gek doen op verbindingen met hoge(re) latencies, bijvoorbeeld met VPNs, daar ligt het probleem voor jou dus niet.

RRRobert @guillaume • 21 februari 2018 12:12

Bedankt voor de tip. Zal dit vanavond ook eens proberen.

Sp3ci3s8472 @Oefshakalaka • 21 februari 2018 12:34

Als je versie 4 of hoger gebruikt dan kan dat een bug zijn. Oude versies zijn qua snelheid stabiel hier.

Randfiguur @Sp3ci3s8472 • 21 februari 2018 18:51

Als dat zo is, dan is het voor mij nóg een reden om te wachten met upgraden vanwege allerlei vage bugs, zie ook de reacties onder versie 4.0.4.

[Reactie gewijzigd door Randfiguur op 23 juli 2024 04:56]

Becquerel @Oefshakalaka • 22 februari 2018 09:48

Is dat uberhaupt wel te vergelijken? Je peers kunnen in de tussentijd uitgeschakeld zijn etc.

2green @jozakin • 21 februari 2018 08:29

Qbittorrent is voor mij ook de standaard keus, mede omdat hij opensource is.

Als ik kijk in de changelog van qbittorrent, dan lijkt het erop dat ze bijna een jaar geleden al gefixed hadden. Maar had geen tijd om te verifieren dat het om dezelfde 'dns rebinding' gaat.

Bron: https://www.qbittorrent.org/news.php

flippy @jozakin • 21 februari 2018 08:03

Utorrent 2.2.1 is the new utorrent.

Kain_niaK @flippy • 21 februari 2018 15:15

Noppe, vroeger was dit ook de standaard maar ben nu al jaren over naar qbittorrent. 2.2.1 laat niet toe om een torrent in volgorde te downloaden dus je kunt er niet mee streamen. Dat was het grootste gemis dat ik bij 2.2.1 had. En dan is er de torrent zoek balk die qbittorrent heeft die toe laat op alle grote torrent sites te zoeken en dat is wel zo handig. En er is nog veel meer leuks en aardigs aan qbitorrent dat een oude versie van utorrent waar niet meer aan ontwikkeld word natuurlijk niet kan aanbieden.

flippy @Kain_niaK • 21 februari 2018 15:54

2.2.1 kan gewoon parallel downloaden. zit net als elke andere versie in het verborgen optiemenu.

voordeel van 2.2.1 is dat het geen enkele vorm van bloatware heeft (daarom ook maar 200kb)

Anonymoussaurus @flippy • 21 februari 2018 08:07

Met nog meer lekken, verouderde instellingen, poorten, en weet ik het allemaal. Nee, ook ik ben sinds een half jaartje over op qBitTorrent.

Antrax @Anonymoussaurus • 21 februari 2018 08:56

Mensen noemen vaak 'beveiligingskwetsbaarheden' in oude versies van uTorrent, maar hoewel ik iedereen vraag om ze op te noemen, heeft niemand me ooit verteld wat ze zijn. Er is vooralsnog geen fatale beveiligingskwetsbaarheden in uTorrent 2 bekend, tenzij er een is gevonden die ik niet begrijp waarom het gebruik ervan onveilig is

Ik neem mijn woorden terug gezien de reactie van AnonymousWP hieronder

[Reactie gewijzigd door Antrax op 23 juli 2024 04:56]

Anonymoussaurus @Antrax • 21 februari 2018 09:00

Bovendien is het naïef om te denken dat er omdat er niets te vinden is, er ook geen lekken zijn. Wie weet wordt er actief misbruik gemaakt van 2.2.1, en 2.2.1 wordt dan niet meer gepatcht.

Cerberus_tm

@Anonymoussaurus • 21 februari 2018 12:40

Ik vraag me alleen af hoe makkelijk die lekken te exploiteren zijn. Is het accepteren van een magneet-link van het internet genoeg? Ik gebruik een oude Utorrent omdat die video kan streamen terwijl je nog aan het downloaden bent.

Anonymoussaurus @Cerberus_tm • 21 februari 2018 12:41

qBitTorrent kan dat volgens mij ook. Als je een video streamt via een torrent, kun je net zo goed PopcornTime of iets downloaden

.

Ik heb de details niet bekeken, maar dat zou wel een mogelijkheid kunnen zijn.

Cerberus_tm

@Anonymoussaurus • 21 februari 2018 13:13

Ik zie dat Q sequentieel kan, maar niet gewoon streamen en bufferen en zo, zoals de oude U met VLC. Popcorn ken ik niet.

Kain_niaK @Cerberus_tm • 21 februari 2018 15:21

popcorn time is a een app die gebruikt maakt van peerflix een streaming torrent client for node.js

Peerflix is de beste streaming torrent client die ik ken, werkt veel sneller en vlotter dan utorrent zijn streaming optie.

Ik gebruik zelf ook meestal Qbittorrent maar als ik wil seeken dan gebruik ik peerflix.

Cerberus_tm

@Kain_niaK • 21 februari 2018 15:36

OK goed om te weten, misschien ga ik dan eens uitzoeken hoe ik die peerflix kan gebruiken.

Kain_niaK @Cerberus_tm • 21 februari 2018 15:38

Het is een node.js applicatie. Op linux werkt het zo

peerflix "magnet:?xt=urn:btih:ef330b39f4801d25b4245212e75a38634bfc856e" --vlc

Dus dan word een magnet link gewoon geopent in VLC en kun je vooruit spoelen en zo.
Of je kunt ook Popcorn TIme installeren en daar kun je gewoon torrent files of magnet links naar toe drag en droppen. En er zijn natuurlijk tig implementaties die op de achtergrond gewoon peerflix als streaming torrent client gebruiken.

Cerberus_tm

@Kain_niaK • 21 februari 2018 15:41

Ah, ja, ik zou er wel gewoon een GUI bij willen die net zo werkt als Utorrent e.d., streamen tijdens het downloaden om te kijken wat het is. Misschien dan toch maar eens Popcontime gebruiken, al wil ik wel graag software waarvan ik zeker weet dat die van een betrouwbare bron komt.

Kain_niaK @Cerberus_tm • 21 februari 2018 15:43

Dan moet je voorzichtig zijn met popcorn-time. Alleen https://popcorntime.sh/ is te vertrouwen.

Cerberus_tm

@Kain_niaK • 21 februari 2018 15:49

Dank voor de link. Al zou ik die site dan wel even heel goed gaan checken. Of misschien in een VM draaien.

supersnathan94 @Anonymoussaurus • 21 februari 2018 12:46

Oh wauw. Ik zie dat ik zelfs nog op 1.8.7. zit. Wordt dus tijd om eens iets nieuws te gaan zoeken. Updaten is namelijk een ramp en ik merk dat ik nogal wel eens een berg resources echt kwijt ben aan niets.

[Reactie gewijzigd door supersnathan94 op 23 juli 2024 04:56]

andru123 @Anonymoussaurus • 22 februari 2018 02:02

Eerste link - Ik zie geen lekken van 2.2.1 in die lijst, allemaal van de vroegere versies. En de eerste lek in die lijst is helemaal vaag, die gaat over "alle" uTorrent versies, ook de laatste dus

, en geen enkele bewijs/exploit en vage omschrijving.
De tweede link - een uTorrent gebruiker zegt dat hij kan geen lekken in 2.2.1 herinneren.
Dat is jouw bewijs?

andru123 @Antrax • 22 februari 2018 02:04

Heb je de linkjes echt gekeken? Er staat namelijk geen bewijs dat 2.2.1 is lek.

Antrax @andru123 • 22 februari 2018 07:24

Dat klopt maar ik wilde geen discussie aan gaan omdat er dan tot de dood wordt gestreden om wie er gelijk krijgt en heb daar geen zin in

Jester-NL @flippy • 21 februari 2018 09:21

Hmm... ik zie anders vooral meldingen voorbij komen waarin wordt aangegeven dat dit probleem zich bevindt in alle versies van uTorrent... dat is dus ook in 2.2.1.

Ik denk dat het tijd wordt naar een andere client te kijken

Ramoncito @Jester-NL • 21 februari 2018 23:04

Ik heb ook die oude 2.2.1 versie nog, maar begrijp ik het goed dat deze truc alleen werkt als je naar een website gaat en je tegelijkertijd uTorrent draait?

breezie @flippy • 21 februari 2018 08:06

Die oude uTorrent voelt inderdaad een stuk beter aan dan de laatste uTorrent versies, maar het is en blijft oude software die mogelijks nog meer ongepatchte beveiligingslekken bevat.

kuurtjes @jozakin • 21 februari 2018 08:39

Deluge vind ik zeer goed

SilverRST @kuurtjes • 21 februari 2018 14:52

Absoluut Deluge. Heel licht, heel makkelijk en compleet ad-free.

lepel @kuurtjes • 21 februari 2018 09:26

Ook mijn keuze sinds enkele jaren. Wanneer een stuk software op een bepaalde moment malware meelevert (zoals de bitcoin miner die in uTorrent zat) dan raak ik het liever nooit meer aan.

Deluge is voor mij wat uTorrent ooit was, lekker licht, lekker lelijk en functioneel.

[Reactie gewijzigd door lepel op 23 juli 2024 04:56]

TMDC @lepel • 21 februari 2018 09:39

Same here, Transmission heeft nooit echt lekker gedraaid hier. Deluge is simpel, licht en duidelijk.

Rman @TMDC • 21 februari 2018 10:09

Opmerkelijk ik draai al meer dan 15 jaar Transmision, nooit gefaald.

TMDC @Rman • 21 februari 2018 10:50

Op Ubuntu had ik er nooit problemen mee - bij W7/W10 vaak freezes, en torrents met lange bestandsnamen vertikte hij helemaal te downloaden.

PhantomPotato @lepel • 21 februari 2018 22:51

Ligt een beetje aan je GTK thema. (of is dat Windows? Ik heb geen idee hoe Deluge eruit ziet zonder custom theme)

lepel @MrDummy • 21 februari 2018 15:22

Bovengenoemde security risico? Niemand heeft het over security risicos gehad m.b.t. Deluge, en zover ik weet zijn er ook geen bekende risicos.

Ik heb daarnaast even naar de qBittorrent website gekeken, en hun main mirror staat op FossHub, de anderen wel op SourceForge.

MrDummy @lepel • 21 februari 2018 15:48

Duidelijk. Bedankt, ik ga ermee gebruiken.

Leuk dat Deluge ook aardig wat plugins heeft en er is tool aanwezig om data van utorrent te importeren, dus mooi voor overstappers.

sugarlee89 @jozakin • 21 februari 2018 12:44

nieuw? eerste release 2006 als antwoord op de malware die zijn intrede deed bij utorrent. Dus al 12 jaar nieuw. Wat een grap.

Ruw ER 21 februari 2018 08:06

Probeer alt 230 voor µ.
Zeggen we u torrent of micro torrent?

Sommige torrent sites zijn al schimmig dus zou niet eens gek zijn dat ze daar een paar foute links tussen zetten. Misschien maar even niet gebruiken.

JurGor @Ruw ER • 21 februari 2018 13:54

Dat is nou een vraag die de maker zelf in 2005al heeft beantwoord, zie https://web.archive.org/w.../viewtopic.php?pid=47#p47

Good question.

It could be one of those:
* you-torrent
* microtorrent (because µ means micro)
* mytorrent (because µ is pronounced like my)

I don't really know how it's pronounced big_smile
I usually say "you torrent" because it looks like a u.

/Ludde

nelizmastr @Ruw ER • 21 februari 2018 08:15

De officiële benaming is dan mu-torrent.

Stonehawk @Ruw ER • 21 februari 2018 08:35

Wat Nelizmastr al schrijft, spreek je het µ teken uit als mu. Het teken staat in de natuurkunde voor micro. Daarom lees ik het als micro torrent.

Nou weet ik niet wat de naamgever(s) van het programma in gedachte had(den).

Er zullen echter genoeg mensen zijn die het als "u" torrent uitspreken.

JelleDekkers @Ruw ER • 21 februari 2018 08:31

Ctrl + Alt + M en AltGr + M kunnen ook.

The Zep Man

Netwerk en systeembeheer

@JelleDekkers • 21 februari 2018 08:34

Ctrl + Alt + M en AltGr + M kunnen ook.

Ligt aan je gekozen toetsenbordindeling. Mensen die veel met code werken gebruiken vaak US English zonder internationale ondersteuning/dead keys/extra modifiers. Onder Windows werkt ALT+(numlock:on,numpad:2,3,0) altijd, onafhankelijk van de gebruikte layout.

.oisyn Moderator Devschuur® @The Zep Man • 21 februari 2018 09:28

Numlock hoeft daar niet voor aan te staan.

kozue @Ruw ER • 21 februari 2018 09:30

Ja, heel leuk, die niet te onthouden windows-specifieke combinaties, maar het web speelt zich steeds meer af op telefoons en ik zie toch echt geen mu-teken op m’n onscreen keyboard zitten. Op m’n linux bakken en MacOS heb je er ook niets aan, alhoewel het onder Linux waarschijnlijk veel makkelijker is dan onder Windows, met de compose-key (de exacte combinatie weet ik niet, ik zit nu op m’n telefoon, maar ik zou eerst u+, proberen).

Laten we het gewoon uTorrent blijven noemen, dan leren andere developers er misschien wat van (dat ze geen tekens in hun naam moeten gebruiken die niet te typen zijn).

S-Face 21 februari 2018 08:02

Gaat het nou over uTorrent of BitTorrent?..

Het zijn blijkbaar twee torrent programma's van dezelfde maker. Wat is het verschil ertussen dan?

[Reactie gewijzigd door S-Face op 23 juli 2024 04:56]

ikt @S-Face • 21 februari 2018 08:07

Het gaat over de µTorrent client. BitTorrent is eigenaar van µTorrent, vandaar dat de onderzoekers de eigenaar/ontwikkelaar daarvan op de hoogte hebben gesteld

eternia16 @S-Face • 21 februari 2018 08:07

BitTorrent is de eigenaar van uTorrent

SmokingSig 21 februari 2018 10:26

Enig idee wanneer transmission met een patch komt ?

mischaatje2 @SmokingSig • 21 februari 2018 13:55

Transmission versie 2.93 met een fix voor genoemde kwestbaarheid, CVE-2018-5702, is enkele weken geleden uitgekomen. Zie release notes

[Reactie gewijzigd door mischaatje2 op 23 juli 2024 04:56]

Becquerel @SmokingSig • 22 februari 2018 09:54

Als je debian: https://www.debian.org/security/2018/dsa-4087

For the oldstable distribution (jessie), this problem has been fixed in version 2.84-0.2+deb8u1.

For the stable distribution (stretch), this problem has been fixed in version 2.92-2+deb9u1.

simpele apt-cache policy transmission*
geeft je welke versies geïnstalleerd zijn, in mijn geval zijn alle geinstalleerde transmission packages 2.92-2+deb9u1 zoals zou moeten.

Becquerel 21 februari 2018 10:49

Haha, een update om het lek te fixen, fixed het lek niet? Mooi!

andru123 @Becquerel • 22 februari 2018 02:20

Mooier! Een fix om aleen de tool die lek detecteert, voor de gek te houden.

Becquerel @andru123 • 22 februari 2018 09:45

GENIUS!

Marctraider 21 februari 2018 10:01

Eigenlijk heeft iedereen moeten stoppen dit programma te gebruiken nadat ze jaren geleden ads e.d. er in hadden gestopt.

Mja.

SSDtje

@Marctraider • 21 februari 2018 10:49

Je kunt de ads ervan ook simpelweg blokkeren, Just so you know.
En hoe dat voor elkaar te krijgen, kun je hier lezen.
Nu gebruik ik het programma zelf al erg lang niet meer, maar toen dat nog wel het geval was, was dit altijd het eerste wat er ging gebeuren, nadat de installatie ervan eenmaal gedaan was.

[Reactie gewijzigd door SSDtje op 23 juli 2024 04:56]

Wolfos @SSDtje • 21 februari 2018 10:59

Of je gebruikt een ander programma waar geen ads in zitten. Waarom lastig doen als het ook makkelijk kan?

Becquerel @SSDtje • 22 februari 2018 09:46

Jouw link bewijst maar weer eens hoe religieus mensen over een simpel programma als een torrent programma zijn......

Chuk 21 februari 2018 08:29

En dat in combinatie met het feit dat vele torrentsites al zeer louche inhoud bevatten. Torrenten van (illegale) software blijft sowieso al een groot risico. Extra vulnerabilities zoals deze maken het nog gevaarlijker.

kozue @Chuk • 21 februari 2018 09:34

Er zijn meer doelen voor torrent dan illegale downloads hoor. Torrent is gewoon een protocol voor file transfer, net als http, ftp en nog vele anderen. Je hoort toch ook niemand roepen dat er zoveel “http sites” vol staan met louche inhoud en http wel een groot risico is?

Becquerel @Chuk • 22 februari 2018 09:47

Hallo Brein, hoe is het vandaag?

sugarlee89 21 februari 2018 12:44

Wtf na 2006 nog utorrent gebruiken. In 2006 werd utorrent een grote malware. Als antwoord daarop kwam qbittorrent, alweer 12 jaar geleden. Kom op mensen, laat utorrent, net als flash, eens rustig inslapen. dank u.

andru123 @sugarlee89 • 22 februari 2018 02:15

Dat was na 2.2.1. Versie 2.2.1 was de laatste stabiele versie zonder ads en malware,

beezjeh 21 februari 2018 10:09

Alldebrid is voor mij al jaren lang een ideale oplossing voor torrents

[Reactie gewijzigd door beezjeh op 23 juli 2024 04:56]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (70)

Sorteer op:

Weergave: