В qBittorrent 5.0.1 разработчики исправили баг с неправильной валидацией TLS-сертификатов, который был в проекте 14 лет

В конце октября 2024 года разработчики проекта qBittorrent выпустили версию 5.0.1, где исправлен баг с неправильной валидацией сертификатов SSL/TLS, который был в проекте 14 лет. Тем самым в новой версии торрент-клиента устранена уязвимость, подвергавшая пользователей MitM-атакам (man-in-the-middle).

Эксперты по ИБ из Sharp Security пояснили, что в qBittorrent 5.0.1 действительно устранена уязвимость с возможностью удалённого выполнения кода, вызванная неспособностью проверить сертификаты SSL/TLS в компоненте DownloadManager, который управляет загрузками во всём приложении. Эта уязвимость была заявлена в коммите проекта 6 апреля 2010 года.

Основная проблема заключается в том, что с 2010 года qBittorrent принимал любые сертификаты, включая поддельные/незаконные, что позволяло злоумышленникам совершать MitM-атаку и изменять сетевой трафик.

«В qBittorrent класс DownloadManager игнорировал все ошибки проверки сертификата SSL, которые когда-либо происходили на каждой платформе, в течение 14 лет и 6 месяцев с 6 апреля 2010 года с коммитом 9824d86. Поведение по умолчанию изменилось на проверку 12 октября 2024 года с фиксацией 3d9e971. Первый исправленный выпуск — версия 5.0.1», — объяснил исследователь безопасности.

Сертификаты SSL помогают гарантировать, что пользователи безопасно подключаются к легитимным серверам, проверяя, что сертификат сервера является подлинным и доверенным центром сертификации (CA). Если эта проверка пропускается, любой сервер, выдающий себя за легитимный, может перехватывать, изменять или вставлять данные в поток данных, и qBittorrent будет доверять этим данным.

В Sharp Security выделили четыре основных риска, возникающих из-за этой проблемы:

Когда Python недоступен в Windows, qBittorrent предлагает