Beveiligingslek in de torrentclient Transmission

De makers van de bittorrentclient Transmission ontwikkelen momenteel een patch voor een rce-lek. Deze kwetsbaarheid is onlangs ontdekt door onderzoeker Tavis Ormandy. Hij demonstreerde een aanval via een malafide site op de webinterface van de client.

De onderzoeker deed dit via DNS rebinding. Met deze techniek kon hij de Transmission-instellingen wijzigen en onder andere een bepaald script laten draaien, zodra een torrent was gedownload.

Patch

Ormandy zou, naar eigen zeggen, ongeveer vijf minuten nodig hebben gehad voor de aanval. Zijn werkwijze zou zowel in Chrome als Firefox mogelijk zijn, zowel op Windows als Linux. Het beveiligingslek is bekend onder de naam CVE-2018-5702. De benodigde patch is inmiddels gemerged, aldus de GitHub-pagina van Transmission.

Versie 2.93

Versie 2.93 van de software, die nog moet uitkomen, zal waarschijnlijk deze patch bevatten. Een medewerker van het ontwikkelaarsteam heeft tegenover Ars Technica laten weten dat alleen gebruikers gevaar lopen die Transmission met toegang, op afstand en zonder wachtwoordbeveiliging gebruiken.

Aanmelden voor onze nieuwsbrief