Neue KTorrent-Version schließt Sicherheitslücken
In der Version 3.1.4 des freien BitTorrent-Clients KTorrent für KDE (und Gnome) haben die Entwickler neben einigen Stabilitätsproblemen auch mehrere Sicherheitslücken im Webinterface beseitigt.
- Daniel Bachfeld
In der Version 3.1.4 des freien BitTorrent-Clients KTorrent für KDE (und Gnome) haben die Entwickler neben einigen Stabilitätsproblemen auch mehrere Sicherheitslücken im Webinterface beseitigt. Dazu gehörten nach Angaben des Sicherheitsdienstleisters Secunia die Möglichkeit, über präparierte Parameter PHP-Code einzuschleusen und auszuführen sowie durch bestimmte HTTP-Post-Requests die Zugriffsbeschränkungen für Uploads zu umgehen und so beliebige Torrent-Dateien hochzuladen.
Für einen erfolgreichen Angriff muss in KTorrent allerdings das Web-Plug-in aktiviert sein, was standardmäßig nicht der Fall ist. Die KTorrent-Version 2.x ist von den Fehlern nicht betroffen.
Siehe dazu auch:
- 3.1.4 released, Ankündigung auf ktorrent.org
- KTorrent Web Interface Torrent Upload and PHP Code Injection, Fehlerbeschreibung von Secunia ktorrent.org
(dab)