µTorrent CZ je nejpoužívanější a možná i nejlepší P2P BitTorrent klient - tedy program pro stahování souborů přes torrent

HledatHledat   EnglishEnglish   Seznam uživatelůSeznam uživatelů   Uživatelské skupinyUživatelské skupiny   ProfilProfil   Soukromé zprávySoukromé zprávy   RegistraceRegistrace   PřihlášeníPřihlášení 


Bezpečnostní díra v uTorrent

 
Přidat nové téma   Zaslat odpověď    Obsah fóra uTorrent CZ -> Aktuálně
Zobrazit předchozí téma :: Zobrazit následující téma  
Autor Zpráva
Anakunda



Založen: 1.4.2010
Příspěvky: 47

PříspěvekZaslal: 21.únor 2018, 05:28    Předmět: Bezpečnostní díra v uTorrent Citovat

Dnes vyšlo na trackeru oznámení že je od včerejška znám backdoor přes web UI ve všech verzích uTorrentu, a že se doporučuje přejít na jiného klienta dokud se to "neopraví". Info zde
https://bugs.chromium.org/p/project-zero/issues/detail?id=1524
Tak mě zajímalo jestli se chystá nějaká neoficiální záplata do uTorrentu 2.2.1 protože je jasné že regulérní aktualizace u těchhle starých verzi už nepřipadá v úvahu. Zatím to vypadá že budu nucen přejít na něco jiného a do toho se mi vůbec nechce.
Návrat nahoru
Zobrazit informace o autorovi Odeslat soukromou zprávu
Google
AdSense





PříspěvekZaslal: 21.únor 2018, 05:28    Předmět: Reklama

Návrat nahoru
Zobrazit autorovy WWW stránky
Pety
Pokročilý


Založen: 2.7.2011
Příspěvky: 133

PříspěvekZaslal: 21.únor 2018, 08:39    Předmět: Citovat

Pro nás, kdo WebUI nepoužíváme, to asi nehraje roli, ne?
Návrat nahoru
Zobrazit informace o autorovi Odeslat soukromou zprávu
Google
AdSense





PříspěvekZaslal: 21.únor 2018, 08:39    Předmět: Reklama

Návrat nahoru
Zobrazit autorovy WWW stránky
Anakunda



Založen: 1.4.2010
Příspěvky: 47

PříspěvekZaslal: 21.únor 2018, 09:33    Předmět: Citovat

Tak už to bude možná ošetřeno, stačí vypnout network discovery v nastavení (a restartovat klienta)
Používání WebUI na to nemá vliv, port je otevřený nezávisle na tom.
Zranitelnost jde ověřit otevřením adresy http://localhost:10000/ v prohlížeči.
Návrat nahoru
Zobrazit informace o autorovi Odeslat soukromou zprávu
emc
Administrátor


Založen: 27.2.2006
Příspěvky: 4792

PříspěvekZaslal: 21.únor 2018, 19:16    Předmět: Citovat

Včera jsem to objevil na TorrentFreak a v rychlosti jen retweetnul na https://twitter.com/utorrentcz.
µTorrent naslouchá na portu 10000 od verze 2.0 build 17920 (neuvažovány verze beta a RC).

Návrat nahoru
Zobrazit informace o autorovi Odeslat soukromou zprávu Odeslat e-mail Zobrazit autorovy WWW stránky
Pety
Pokročilý


Založen: 2.7.2011
Příspěvky: 133

PříspěvekZaslal: 22.únor 2018, 10:17    Předmět: Citovat

Ve firewallu si instalace microtorrentu otevírá všechny příchozí porty - tak to asi stačí omezit na ten jeden konkrétní, který se používá, ne? Nebo tam dát 10001-65535.
Návrat nahoru
Zobrazit informace o autorovi Odeslat soukromou zprávu
emc
Administrátor


Založen: 27.2.2006
Příspěvky: 4792

PříspěvekZaslal: 22.únor 2018, 18:32    Předmět: Citovat

µTorrent si otevře ve Windows Firewall všechny porty, máš-li to povoleno v možnostech nastavení µTorrent. Vždy můžeš rozsah průchozích portů omezit. Pokud používáš firewall třetích stran, uTorrent si sám neotevře nic.

Většina z nás je navíc za NAT svého routeru, kde se musí nastavit port forward. Ručně si povolíš, co chceš. UPnP otevírá pouze port pro naslouchání. Port 10000 (pokud není nastaven jako naslouchací) si neotevírá. Nepředpokládám, že by někdo, jako za dob Windows 98 až XP bez SP2 jel na LAN celého sídliště a riskoval tak bez jakéhokoli firewallu, že se ti soused bude vrtat v počítači...

Takže ano, v uTorrent je oproti nastavenému portu naslouchání otevřen ještě port 10000, přes který lze přistupovat k WebUI a možná i k dalším nezdokumentovaným funkcím programu uTorrent. Ale při základním zabezpečení domácí sítě je riziko případného zneužití nulové...

Riziko případného zneužití lze vyřešit změnou rozšířeného nastavení - přepnutím "net.discoverable" na "false" a restartováním klienta uTorrent. Pokud nepoužíváte WebUI, tak ho v možnostech nastavení deaktivovujte.

Odkazy:
https://torrentfreak.com/bittorrent-client-utorrent-suffers-security-vulnerability-180220/
https://bugs.chromium.org/p/project-zero/issues/detail?id=1524
Návrat nahoru
Zobrazit informace o autorovi Odeslat soukromou zprávu Odeslat e-mail Zobrazit autorovy WWW stránky
honzass



Založen: 22.8.2015
Příspěvky: 14

PříspěvekZaslal: 22.únor 2018, 20:58    Předmět: Citovat

Hm, věřím Ti, tak jsem to teda přepnul a děj se vůle boží.... Shocked Wink
Návrat nahoru
Zobrazit informace o autorovi Odeslat soukromou zprávu
Anakunda



Založen: 1.4.2010
Příspěvky: 47

PříspěvekZaslal: 24.únor 2018, 16:58    Předmět: Citovat

Hlavně je to začátek konce µTorrentu, privátní trackery, co dbají na bezpečnost, se chystají kvůli té bezpečnostní díře µTorrent zabanovat.

Co by jste doporučili jako nejlepší náhradu? Nabízí se qBittorrent a Transmission.
Návrat nahoru
Zobrazit informace o autorovi Odeslat soukromou zprávu
emc
Administrátor


Založen: 27.2.2006
Příspěvky: 4792

PříspěvekZaslal: 24.únor 2018, 18:16    Předmět: Citovat

Moc se to hrotí... Četl jsi můj předchozí post?
Nejlepším klientem je stále µTorrent (a jeho fork BitTorrent). Bezpečnostní problém se netýká kumunikace
s trackery, proto nevidím důvod, proč by to měly trackery řešit. Případné riziko jde jen za uživatelem...

Dalšími rozšířenými klienty jsou:

Rozšířenými, ale problematickými klienty jsou:
Návrat nahoru
Zobrazit informace o autorovi Odeslat soukromou zprávu Odeslat e-mail Zobrazit autorovy WWW stránky
LUF



Založen: 11.11.2017
Příspěvky: 5

PříspěvekZaslal: 28.únor 2018, 00:20    Předmět: Citovat

Uvádí se, že: uTorrent opravuje chybu, která mohla uživatele vystavit nebezpečí:

https://technet.idnes.cz/kratke-zpravy.aspx#c-A180223_112206_tec-kratke-zpravy_vse

Nebylo by přeci jen lepší přejít na novější verzi 3.5.3? Děkuji za názor
Návrat nahoru
Zobrazit informace o autorovi Odeslat soukromou zprávu
emc
Administrátor


Založen: 27.2.2006
Příspěvky: 4792

PříspěvekZaslal: 01.březen 2018, 00:34    Předmět: Citovat

Přechod na verzi 3.5.3 není nezbytně nutný při dodržení standardních bezpečnostních zásad.
Chybu lze záplatovat úpravou rozšířených nastavení, viz výše.

Právě jsem vydal českou instalačku uTorrent 3.5.3.44358 s nastavením Ad-free.

CSIRT.CZ dne 22.únor 2018, 11:15 napsal:
Oprava zranitelnosti v uTorrent klientovi
V aplikaci uTorrent Web byla nalezena závažná chyba, kterou může útočník zneužít nalákáním uživatele na škodlivé webové stránky, díky kterým ovládne aplikaci a například stáhne škodlivý kód. Mírněji je zasažena i známější verze uTorrent Classic, ve které se může útočník dostat k seznamu stažených souborů a z počítače je získat (pokud jsou ještě na disku). Společnost BitTorrent Inc., která za oběma aplikacemi stojí, již vydala opravy na obě verze - v0.12.0.502 pro uTorrent Web a v3.5.3 pro uTorrent Classic (zatím v Beta, v nejbližších by se měla objevit i ve Stable verzi).

_________________
Nově také na Twitteru: https://www.twitter.com/utorrentcz
Návrat nahoru
Zobrazit informace o autorovi Odeslat soukromou zprávu Odeslat e-mail Zobrazit autorovy WWW stránky
Zobrazit příspěvky z předchozích:   
Přidat nové téma   Zaslat odpověď    Obsah fóra uTorrent CZ -> Aktuálně Časy uváděny v UTC + 2 hodiny
Strana 1 z 1

 
Přejdi na:  
Nemůžete odesílat nové téma do tohoto fóra.
Nemůžete odpovídat na témata v tomto fóru.
Nemůžete upravovat své příspěvky v tomto fóru.
Nemůžete mazat své příspěvky v tomto fóru.
Nemůžete hlasovat v tomto fóru.


Powered by phpBB © 2001 - 2008 phpBB Group , Český překlad phpBB.cz
© 2005 - 2018 emc, µTorrent CZ , www.utorrent.cz , forum@utorrent.cz