2010 年 4 月 6 日知名 BT 客户端软件 qBittorrent 提交的代码中包含漏洞,该漏洞会无视任何 SSL/TLS 证书并可能会被用于发起中间人劫持甚至远程代码执行。
值得注意的是 qBittorrent 在最新推出的 v5.0.1 版中修复该漏洞,但如此危险的漏洞 qBittorrent 并未为漏洞分配 CVE 编号,也没有发布明显的通知告知用户。
如果你使用的是该 BT 客户端建议尽快升级到最新版本,随着时间的推移相信很快就会有黑客开采该漏洞并加以利用,到时候终端用户的安全会受到威胁。
该漏洞的大致情况是这样的:
在 14 年前提交的 9824d86 代码更新中,负责管理下的组件 DownloadManager 忽略任何 SSL/TLS 证书的验证错误,也就是无论是过期证书、自签名证书、伪造的任意证书都会被接受。
这意味着攻击者可以利用漏洞发起中间人攻击 (MiTM),例如伪造合法服务器并拦截、修改或劫持数据,而 qBittorrent 对此不会有任何报错。
直到 2 天前 qBittorrent 才发布 v5.0.1 版将这个漏洞修复,因此如果你使用 qBittorrent 应当立即升级到 v5.0.1 及后续版本。
这个漏洞的潜在危害:
例如在 Windows 上无法使用 Python 时,qBittorrent 会提示用户通过指向 Python 可执行文件的硬编码 URL 进行安装。
由于缺乏必要的 SSL/TLS 证书验证,攻击者可以拦截该请求并将其替换为恶意安装包,当用户使用恶意安装包进行部署时那就会被感染恶意软件或后门程序。
还有个案例是 qBittorrent 会自动从硬编码的 URL 下载压缩的 GeoIP 数据库并进行解压缩,攻击者则可以利用这个特性编写特制文件利用潜在的内存溢出漏洞。
