qBittorrent 修复了该应用中负责管理下载的组件 DownloadManager 中因 SSL/TLS 验证失败引发的远程代码执行漏洞。该漏洞在2010年4月6日中的一个提交中引入，在14年之后的2024年10月8日的最新发布版本5.0.1中修复。

qBittorrent 是一款免费的开源客户端，用于通过 BitTorrent 协议下载和共享文件。它因拥有跨平台性质、IP过滤、一体化搜索引擎、RSS投放支持和现代的基于 Qt 的接口而备受关注。

不过正如安全研究员 Sharp Security 在一篇博客文章中提到的那样，该团队修复了一个值得关注的漏洞，但并未分配CVE编号，未能以恰当的方式通知用户。

一个问题，多种风险

问题的核心在于，自2010年起，qBittorrent 接受了任何证书如伪造/不合法证书，使得攻击者处于中间人未知，修改网络流量。

研究员提到，“在 qBittorrent 中，DownloadManager 类忽视了所有平台上发生过的所有 SSL 证书验证错误，自2010年4月6日的提交 9824d86起，已经持续了14年6个月。这一默认行为通过2024年10月12日的提交 3d9e971得到改变。第一次打补丁的发布是在2天前发布的5.0.1版本。”

SSL 证书通过验证服务器证书获得证书机构 (CA) 的验证和信任，确保用户以安全的方式连接到合法服务器。如果跳过这一验证步骤，则假装为合法的任何服务器均可拦截、修改或在数据流中插入数据，而 qBittorrent 将信任该数据。

Sharp Security 强调了该问题带来的四个主要风险：

（1）  如Windows系统无法使用 Python，则 qBittorrent 提示用户通过指向一份 Python 可执行文件的硬编码 URL 进行安装。由于缺少证书验证，拦截该请求的攻击者可以恶意 Python 安装器取代该 URL 的响应，从而执行 RCE。

（2）  qBittorrent 通过从硬编码 URL 中提取 XML 推送的方式检查更新，之后为新版本的下载链接解析推送。缺少SSL验证，攻击者可替换推送中的恶意更新，提示用户下载恶意 payload。

（3）  qBittorrent 的 DownloadManager 也用于 RSS 推送，导致攻击者可拦截和修改 RSS 推送内容并以安全种子连接的方式注入恶意 URL。

（4）  qBittorrent 从硬编码URL中自动下载被压缩的 GeoIP 数据库并解压，从而导致攻击者可通过从被欺骗服务器中提取的文件利用潜在的内存溢出。

该研究员提到，虽然一般而言中间人攻击发生的可能性较小，但在监控严重的区域来说更为常见。qBittorrent 5.0.1的最新版本已修复以上风险。建议用户尽快升级。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~