Popüler torrent istemcisindeki güvenlik açığı 14 yıl sonra kapatıldı!

qBittorrent, uygulamanın indirmeleri yöneten bir bileşen olan DownloadManager’da SSL/TLS sertifikalarının doğrulanmamasından kaynaklanan uzaktan kod yürütme kusurunu giderdi. 6 Nisan 2010’da ortaya çıkan önemli kusur 14 yıldan uzun bir müddet sonra, yeni yayınlanan 5.0.1 sürümüyle giderildi.

qBittorrent, BitTorrent protokolü üzerinden belge indirmek ve paylaşmak için fiyatsız ve açık kaynaklı bir istemci. Platformlar ortası yapısı, IP filtrelemesi, entegre arama motoru, RSS besleme dayanağı ve çağdaş Qt tabanlı arayüzüyle tanınan hale geldi. Fakat, güvenlik araştırmacısı Sharp Security’nin blogunda dikkat çektiği üzere, qBittorrent grubu kullanıcıları gereğince bilgilendirmeden ve sıkıntıya ait CVE atamadan değerli bir yanılgıyı düzeltti.

qBittorrent’te hangi güvenlik açığı kapatıldı?

Temel sorun, 2010’dan beri qBittorrent’in sahte/yasadışı sertifikalar dahil olmak üzere her türlü sertifikayı kabul etmesi; bu sayede de aracı pozisyonundaki saldırganların ağ trafiğini değiştirmesine imkan verdirtmesi.

SSL sertifikaları, sunucunun sertifikasının bir Sertifika Yetkilisi (CA) tarafından gerçek ve sağlam olduğunu doğrulayarak kullanıcıların geçerli sunuculara inançlı bir formda bağlanmasını sağlamaya yardımcı oluyor. Bu doğrulama atlandığında, geçerli sunucu üzere davranan rastgele bir sunucu bilgi akışındaki dataları kesebiliyor, değiştirebiliyor yahut ekleyebiliyor; qBittorrent te bu bilgilere güveniyor.

Uygulamanın SSL sertifikası doğrulaması yapmadan bir ilişkiyi kabul edip etmeyeceğini yöneten ayar, kullanıcılar tarafından hala erişilebilir durumda. Bu ayar devre dışı da bırakılabiliyor.