Failles DNS rebinding dans les clients Torrent : uTorrent aussi était vulnérable

Failles DNS rebinding dans les clients Torrent : uTorrent aussi était vulnérable

Par Sébastien Gavois

Le 21 Février 2018 à 09h13
Logiciel
1 min 10

Failles DNS rebinding dans les clients Torrent : uTorrent aussi était vulnérable

Il y a un peu plus d'un mois, le chercheur Tavis Ormandy, de chez Google, indiquait avoir trouvé un lot de failles dans Transmission, très probablement applicable à d'autres clients Torrent.

C'était bien le cas d'uTorrent, qui n'est autre que le client officiel de BitTorrent, et d'uTorrent Web. Comme le rapporte Ars Technica, deux nouvelles versions sont donc disponibles, et seront poussées automatiquement chez les utilisateurs dans les jours à venir.

Commentaires (10)


Bejarid
Le 21/02/2018 à 10h07

Quelqu’un a des infos sur cette version web de uTorrent ? Ce qu’elle fait, si elle fonctionne bien, etc.



J’ai eu beau googler, j’ai absolument RIEN trouvé, même pas son annonce !


Bejarid
Le 21/02/2018 à 10h31

Bon apparemment Web uTorrent a été fait de façon&nbsp; grotesque. Une fois installé, ce service ouvre une porte béante sur la machine puisque tous les fichiers auxquels le service peut accéder (c’est à dire tout, sauf configuration spécial du système) peut être extrait par du JS tournant sur un navigateur local. Tranquille <img data-src=" /> 




 Les versions récentes de uTorrent Classic sont également attaquables, mais il s'agit pas d'accéder à tous les fichiers de la machine hôte, seulement ceux déjà ouvert (ce qui est en seed et ce qui est en téléchargement). Et éventuellement la liste des .Torrent qui trainerait, mais là dessus le rapport est pas clair.       







 Oh, et ces mises à jours ne servent à rien. Elles ne bouchent pas la faille, sur aucun des deux clients, une modification mineure de l'attaque lui permet de refonctionner :)       







 Par contre, qu'on soit d'accord, tout ça on s'en fout car toutes les versions de uTorrent après la 2.2.1 n'existent pas. C'est une illusion, uTorrent ayant disparu corps et âme le jour de la sortie de 3.x. Et bonne nouvelle, les 2.X ne semblent pas vraiment sensible au hack, car même si le DNS Rebinding fonctionne bien, ces vielles versions n'offre quasi aucun pouvoir à la WebUI en dehors de&nbsp; la liste des fichiers courants et leur progression. Pas de Remote et autre connerie intégré, donc l'effet du détournement est bien faible.       







 Ouf !

grsbdl Abonné
Le 21/02/2018 à 11h50

Pourquoi écrivez-vous uTorrent alors que son nom est µTorrent ?&nbsp;<img data-src=" />&nbsp;(“micro” torrent quoi, Alt étoile)

Ne me dites pas que c’est difficile à taper sur Mac ? Si ?


melchizedech
Le 21/02/2018 à 12h06

alt + m <img data-src=" />


Groupetto Abonné
Le 21/02/2018 à 13h52

Je pense que les gens évitent les caractères spéciaux, de peur de faire exploser les smartphones des inpactiens mobiles <img data-src=" />


Patch Abonné
Le 21/02/2018 à 14h28







grsbdl a écrit :



Pourquoi écrivez-vous uTorrent alors que son nom est µTorrent ? <img data-src=" /> (“micro” torrent quoi, Alt étoile)

Ne me dites pas que c’est difficile à taper sur Mac ? Si ?









melchizedech a écrit :



alt + m <img data-src=" />



MAJ+* sur un vrai clavier (ISO FR, donc) <img data-src=" />



melchizedech
Le 21/02/2018 à 14h48

Avec le vrai clavier branché sur le mac ça marche pas très bien (et c’est très trompeur) <img data-src=" />


Patch Abonné
Le 21/02/2018 à 14h50







melchizedech a écrit :



Avec le vrai clavier branché sur le mac ça marche pas très bien (et c’est très trompeur) <img data-src=" />



En même temps quelle idée d’utiliser une configuration clavier bâtarde qui ne fonctionne que sur cet OS, quand tous les autres utilisent les ISO/ANSI/JIS… <img data-src=" />



levhieu
Le 21/02/2018 à 15h26

µ c’est “COMPOSE” + / + u sur ma distribution

(et j’ai un clavier QWERTY parce que je veux les méta-caractères shell. C, et autres à portée de main)


picoteras
Le 21/02/2018 à 17h04







Bejarid a écrit :



Bon apparemment Web uTorrent a été fait de façon  grotesque. Une fois installé, ce service ouvre une porte béante sur la machine puisque tous les fichiers auxquels le service peut accéder (c’est à dire tout, sauf configuration spécial du système) peut être extrait par du JS tournant sur un navigateur local. Tranquille <img data-src=" /> 




 Les versions récentes de uTorrent Classic sont également attaquables, mais il s'agit pas d'accéder à tous les fichiers de la machine hôte, seulement ceux déjà ouvert (ce qui est en seed et ce qui est en téléchargement). Et éventuellement la liste des .Torrent qui trainerait, mais là dessus le rapport est pas clair.       







 Oh, et ces mises à jours ne servent à rien. Elles ne bouchent pas la faille, sur aucun des deux clients, une modification mineure de l'attaque lui permet de refonctionner :)       







 Par contre, qu'on soit d'accord, tout ça on s'en fout car toutes les versions de uTorrent après la 2.2.1 n'existent pas. C'est une illusion, uTorrent ayant disparu corps et âme le jour de la sortie de 3.x. Et bonne nouvelle, les 2.X ne semblent pas vraiment sensible au hack, car même si le DNS Rebinding fonctionne bien, ces vielles versions n'offre quasi aucun pouvoir à la WebUI en dehors de  la liste des fichiers courants et leur progression. Pas de Remote et autre connerie intégré, donc l'effet du détournement est bien faible.       







 Ouf !








Merci pour ton commentaire, qui m’a incité à creuser le sujet (2.2.1 inside). <img data-src=" />



En ce qui concerne cette version, une parade apparemment efficace est, dans « Options » —&gt; « Avancé », de passer la valeur de « net.discoverable » à false, ce qui empêche l’ouverture du port 10000.



Il y a une looongue discussion, ponctuellement fort intéressante, sur le sujet sur reddit.com/r/trackers.



Fermer