Popüler torrent istemcisindeki açık 14 yıl sonra kapatıldı!

qBittorrent'te hangi güvenlik açığı kapatıldı?
Yorumlar

Erkan Calp

Teknoloji Editörü

qBittorrent güvenlik açığı 14 yıl sonra kapatıldı — **qBittorrent**, uygulamanın indirmeleri yöneten bir bileşen olan DownloadManager'da SSL/TLS sertifikalarının doğrulanmamasından kaynaklanan uzaktan kod yürütme hatasını giderdi. 6 Nisan 2010'da ortaya çıkan ciddi hata 14 yıldan uzun bir süre sonra, yeni yayınlanan 5.0.1 sürümüyle giderildi.

qBittorrent, BitTorrent protokolü üzerinden dosya indirmek ve paylaşmak için ücretsiz ve açık kaynaklı bir istemci. Platformlar arası yapısı, IP filtrelemesi, entegre arama motoru, RSS besleme desteği ve modern Qt tabanlı arayüzüyle popüler hale geldi. Ancak, güvenlik araştırmacısı Sharp Security’nin blogunda dikkat çektiği üzere, qBittorrent ekibi kullanıcıları yeterince bilgilendirmeden ve soruna ilişkin CVE atamadan önemli bir hatayı düzeltti.

qBittorrent'te hangi güvenlik açığı kapatıldı?

Temel sorun, 2010'dan beri qBittorrent'in sahte/yasadışı sertifikalar dahil olmak üzere her türlü sertifikayı kabul etmesi; bu sayede de aracı konumundaki saldırganların ağ trafiğini değiştirmesine imkan verdirtmesi.

SSL sertifikaları, sunucunun sertifikasının bir Sertifika Yetkilisi (CA) tarafından gerçek ve güvenilir olduğunu doğrulayarak kullanıcıların geçerli sunuculara güvenli bir şekilde bağlanmasını sağlamaya yardımcı oluyor. Bu doğrulama atlandığında, geçerli sunucu gibi davranan herhangi bir sunucu veri akışındaki verileri kesebiliyor, değiştirebiliyor veya ekleyebiliyor; qBittorrent te bu verilere güveniyor.

Uygulamanın SSL sertifikası doğrulaması yapmadan bir bağlantıyı kabul edip etmeyeceğini yöneten ayar, kullanıcılar tarafından hala erişilebilir durumda. Bu ayar devre dışı da bırakılabiliyor.

Kaynakça https://www.bleepingcomputer.com/news/security/qbittorrent-fixes-flaw-exposing-users-to-mitm-attacks-for-14-years/ https://sharpsec.run/rce-vulnerability-in-qbittorrent/