Des clients BitTorrent avec des failles d'exécution de code à distance

Le par  |  56 commentaire(s)
Transmission-Logo

Célèbre hacker de Project Zero, Tavis Ormandy a découvert des failles dont l'exploitation peut permettre une prise de contrôle à distance d'un système. Elles affectent des clients BitTorrent dits populaires.

Le chercheur en sécurité Tavis Ormandy de Project Zero (Google) a encore frappé. Cette fois-ci, il tape sur des clients BitTorrent qualifiés de populaires avec la mise au jour de vulnérabilités de type exécution de code à distance.

À ce stade, seule l'application Transmission a été citée, mais d'autres suivront. Cela dépendra du délai de grâce accordé, soit théoriquement une fenêtre de 90 jours (après communication auprès de l'éditeur concerné) avant divulgation publique ou dès lors qu'un correctif est disponible.

Dans le cas présent, cette fenêtre a été raccourcie à 40 jours du fait que le rapport de bug pour Transmission comportait un patch afin de combler la vulnérabilité découverte. Elle a ainsi été dévoilée la semaine dernière.

" Je n'ai jamais eu un projet open source mettant autant de temps à corriger une vulnérabilité ", a pesté Tavis Ormandy, soulignant n'avoir reçu aucune réponse pendant plus d'un mois. À Ars Technica, un responsable du développement de Transmission a indiqué qu'un correctif sera publié au plus vite. Il a ajouté que la faille n'était présente que lorsque l'utilisateur autorise un accès à distance (via le navigateur web) et désactive la protection par mot de passe.

Tavis Ormandy explique que Transmission utilise une architecture client / serveur, avec l'interface utilisateur qui est le client et un daemon s'exécute en arrière-plan pour gérer le téléchargement, le seeding (connexion à d'autres ordinateurs et partage d'un fichier).

Le client interagit avec le daemon par le biais de requêtes JSON RPC à un serveur web local. En exploitant une technique de DNS Rebinding (un attaquant dans un réseau peut accéder à une application web dans un autre réseau), l'interface de Transmission peut être contrôlée à distance.

" J'ai testé ma preuve de concept avec Chrome et Firefox sur Windows et Linux. Elle fonctionne sur toutes les plateformes et navigateurs ", écrit Tavis Ormandy. De plus amples détails sont publiés sur GitHub avec le patch idoine.

Complément d'information

Vos commentaires Page 1 / 6

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1996061
il a aussi dit:

« Je trouve frustrant que les développeurs de Transmission ne répondent pas sur leur liste de sécurité privée. Aussi j’ai suggéré de rendre les détails publics afin que les distributions puissent appliquer le correctif de façon indépendante. Je n’ai jamais vu un projet open source mettre autant de temps pour corriger une vulnérabilité par le passé. Donc, d’ordinaire, je ne prends même pas la peine de rappeler le délai de 90 jours si la vulnérabilité fait partie intégrante d’un projet open source. Je dirai que la moyenne de réponse se compte en termes d’heures et non de mois lorsque nous parlons d’open source »

Après il y a toujours des exceptions, mais ses paroles sous entendent que l'open source est *généralement* plus réactif que le reste

Sinon quelques infos complémentaires:

https://www.cert.ssi.gouv.fr/information/CERTFR-2015-INF-001/


Le #1996062
LinuxUser a écrit :

il a aussi dit:

« Je trouve frustrant que les développeurs de Transmission ne répondent pas sur leur liste de sécurité privée. Aussi j’ai suggéré de rendre les détails publics afin que les distributions puissent appliquer le correctif de façon indépendante. Je n’ai jamais vu un projet open source mettre autant de temps pour corriger une vulnérabilité par le passé. Donc, d’ordinaire, je ne prends même pas la peine de rappeler le délai de 90 jours si la vulnérabilité fait partie intégrante d’un projet open source. Je dirai que la moyenne de réponse se compte en termes d’heures et non de mois lorsque nous parlons d’open source »

Après il y a toujours des exceptions, mais ses paroles sous entendent que l'open source est *généralement* plus réactif que le reste

Sinon quelques infos complémentaires:

https://www.cert.ssi.gouv.fr/information/CERTFR-2015-INF-001/


Ouai enfin ... il dit que ça se compte en heures lorsqu'on leur mets le couteau sous la gorge ... et que sinon c'est en mois
Le #1996063
FRANCKYIV a écrit :

LinuxUser a écrit :

il a aussi dit:

« Je trouve frustrant que les développeurs de Transmission ne répondent pas sur leur liste de sécurité privée. Aussi j’ai suggéré de rendre les détails publics afin que les distributions puissent appliquer le correctif de façon indépendante. Je n’ai jamais vu un projet open source mettre autant de temps pour corriger une vulnérabilité par le passé. Donc, d’ordinaire, je ne prends même pas la peine de rappeler le délai de 90 jours si la vulnérabilité fait partie intégrante d’un projet open source. Je dirai que la moyenne de réponse se compte en termes d’heures et non de mois lorsque nous parlons d’open source »

Après il y a toujours des exceptions, mais ses paroles sous entendent que l'open source est *généralement* plus réactif que le reste

Sinon quelques infos complémentaires:

https://www.cert.ssi.gouv.fr/information/CERTFR-2015-INF-001/


Ouai enfin ... il dit que ça se compte en heures lorsqu'on leur mets le couteau sous la gorge ... et que sinon c'est en mois


Heu... lol, bon je vais partir du principe que les IA savent mieux interpréter un texte que toi, car il ne dit pas du tout ce que tu dis, mais alors pas du tout..., a moins que tu ne parle des projets non open source, car la phrase "se compte en heure et non en mois" signifie bien que pour les autres projets (non open source) c'est avec ces délais qu'il faut compter.

Explication de texte:
- avec l'open source c'est en heures en moyenne
- donc généralement pas besoin du rappel des 90 jours (même pas de rappel, donc on est loin du stade ou il est obligé de publier pour mettre le couteau)
- dans ce cas, la réponse s'est fait tarder, donc il est passé en mode full disclosure au bout de 40 jours

Donc, en clair:
->Pas besoin de couteau sous la gorge avec l'open source contrairement aux autres softs (généralement), sauf dans ce cas particulier (ce qui l'a ennervé car ce n'est pas ce dont il a l'habitude avec l'open source, dou le fait de faire du full disclosure au bout de 40 jours au lieu de 90, ce qui a également été légitimé par le fait de pouvoir soumettre un patch grâce à l'ouverture du code).

P.S: si ca se compte en heures, tu mets pas de couteau sous la gorge, le couteau c'est quand c'est trop long (donc on est déjà au dela de plusieurs semaines), donc ce que tu dis n'a aucun sens...
Le #1996065
LinuxUser a écrit :

FRANCKYIV a écrit :

LinuxUser a écrit :

il a aussi dit:

« Je trouve frustrant que les développeurs de Transmission ne répondent pas sur leur liste de sécurité privée. Aussi j’ai suggéré de rendre les détails publics afin que les distributions puissent appliquer le correctif de façon indépendante. Je n’ai jamais vu un projet open source mettre autant de temps pour corriger une vulnérabilité par le passé. Donc, d’ordinaire, je ne prends même pas la peine de rappeler le délai de 90 jours si la vulnérabilité fait partie intégrante d’un projet open source. Je dirai que la moyenne de réponse se compte en termes d’heures et non de mois lorsque nous parlons d’open source »

Après il y a toujours des exceptions, mais ses paroles sous entendent que l'open source est *généralement* plus réactif que le reste

Sinon quelques infos complémentaires:

https://www.cert.ssi.gouv.fr/information/CERTFR-2015-INF-001/


Ouai enfin ... il dit que ça se compte en heures lorsqu'on leur mets le couteau sous la gorge ... et que sinon c'est en mois


Heu... lol, bon je vais partir du principe que les IA savent mieux interpréter un texte que toi, car il ne dit pas du tout ce que tu dis, mais alors pas du tout..., a moins que tu ne parle des projets non open source, car la phrase "se compte en heure et non en mois" signifie bien que pour les autres projets (non open source) c'est avec ces délais qu'il faut compter.

Explication de texte:
- avec l'open source c'est en heures en moyenne
- donc généralement pas besoin du rappel des 90 jours (même pas de rappel, donc on est loin du stade ou il est obligé de publier pour mettre le couteau)
- dans ce cas, la réponse s'est fait tarder, donc il est passé en mode full disclosure au bout de 40 jours

Donc, en clair:
->Pas besoin de couteau sous la gorge avec l'open source contrairement aux autres softs (généralement), sauf dans ce cas particulier (ce qui l'a ennervé car ce n'est pas ce dont il a l'habitude avec l'open source, dou le fait de faire du full disclosure au bout de 40 jours au lieu de 90, ce qui a également été légitimé par le fait de pouvoir soumettre un patch grâce à l'ouverture du code).

P.S: si ca se compte en heures, tu mets pas de couteau sous la gorge, le couteau c'est quand c'est trop long (donc on est déjà au dela de plusieurs semaines), donc ce que tu dis n'a aucun sens...


Transmission ... c'est opensource ou pas ?

Donc on parle bien en mois si on ne leur mets pas le couteau sous la gorge ...
Le #1996068
FRANCKYIV a écrit :

LinuxUser a écrit :

FRANCKYIV a écrit :

LinuxUser a écrit :

il a aussi dit:

« Je trouve frustrant que les développeurs de Transmission ne répondent pas sur leur liste de sécurité privée. Aussi j’ai suggéré de rendre les détails publics afin que les distributions puissent appliquer le correctif de façon indépendante. Je n’ai jamais vu un projet open source mettre autant de temps pour corriger une vulnérabilité par le passé. Donc, d’ordinaire, je ne prends même pas la peine de rappeler le délai de 90 jours si la vulnérabilité fait partie intégrante d’un projet open source. Je dirai que la moyenne de réponse se compte en termes d’heures et non de mois lorsque nous parlons d’open source »

Après il y a toujours des exceptions, mais ses paroles sous entendent que l'open source est *généralement* plus réactif que le reste

Sinon quelques infos complémentaires:

https://www.cert.ssi.gouv.fr/information/CERTFR-2015-INF-001/


Ouai enfin ... il dit que ça se compte en heures lorsqu'on leur mets le couteau sous la gorge ... et que sinon c'est en mois


Heu... lol, bon je vais partir du principe que les IA savent mieux interpréter un texte que toi, car il ne dit pas du tout ce que tu dis, mais alors pas du tout..., a moins que tu ne parle des projets non open source, car la phrase "se compte en heure et non en mois" signifie bien que pour les autres projets (non open source) c'est avec ces délais qu'il faut compter.

Explication de texte:
- avec l'open source c'est en heures en moyenne
- donc généralement pas besoin du rappel des 90 jours (même pas de rappel, donc on est loin du stade ou il est obligé de publier pour mettre le couteau)
- dans ce cas, la réponse s'est fait tarder, donc il est passé en mode full disclosure au bout de 40 jours

Donc, en clair:
->Pas besoin de couteau sous la gorge avec l'open source contrairement aux autres softs (généralement), sauf dans ce cas particulier (ce qui l'a ennervé car ce n'est pas ce dont il a l'habitude avec l'open source, dou le fait de faire du full disclosure au bout de 40 jours au lieu de 90, ce qui a également été légitimé par le fait de pouvoir soumettre un patch grâce à l'ouverture du code).

P.S: si ca se compte en heures, tu mets pas de couteau sous la gorge, le couteau c'est quand c'est trop long (donc on est déjà au dela de plusieurs semaines), donc ce que tu dis n'a aucun sens...


Transmission ... c'est opensource ou pas ?

Donc on parle bien en mois si on ne leur mets pas le couteau sous la gorge ...


C'est ce que je disais oui, dans ce cas il ont eu le couteau sous la gorge.
Mais ya juste un expert en sécurité que ca choque car généralement avec l'open source ce n'est jamais le cas, d'ou le "Après ya toujours des exceptions" dans mon 1er commentaire.

Je réexplique comme ta pas compris:
- généralement l'open source ça se compte en heures, mais ya des exceptions (transmission par exemple) ou rien n'est fait dans ce délai
- généralement le non open source ca se compte en mois, et je pense bien qu'il y a la aussi des éditeurs sérieux qui font exception et qui corrigent au plus tôt

Donc open source plus réactifs que le reste, sauf exception.

Mais pas la peine de continuer tu ne comprends que ce que tu veux.
Le #1996069

C'est ce que je disais oui, dans ce cas il ont
eu le couteau sous la gorge.
Mais ya juste un expert en sécurité que ca
choque car généralement avec l'open source
ce n'est jamais le cas, d'ou le "Après ya toujours
des exceptions" dans mon 1er commentaire.



Tu as des chiffres à me montrer pour me dire que ceci est juste une exception et non la généralité, ou alors c'est juste ton ressenti de simple utilisateur ?
Le #1996074
FRANCKYIV a écrit :


C'est ce que je disais oui, dans ce cas il ont
eu le couteau sous la gorge.
Mais ya juste un expert en sécurité que ca
choque car généralement avec l'open source
ce n'est jamais le cas, d'ou le "Après ya toujours
des exceptions" dans mon 1er commentaire.



Tu as des chiffres à me montrer pour me dire que ceci est juste une exception et non la généralité, ou alors c'est juste ton ressenti de simple utilisateur ?


C'est ce que dit un expert en sécurité de Google qui a juste l'expérience, c'est ce qui est écrit dans tous les articles traitant du problème de transmission, suffit de les comprendre, mais a priori c'est pas aussi simple que ca en à l'air.

A aucun moment je n'ai parlé de mon ressenti, mais bien de ce que dis Travis Ormandy #Trollraté

D'ailleurs ce n'est pas le seul a tenir ce genre de discours, loin de la.
On peut aussi voir les articles sur les failles, souvent quand on voit "ca fait 6 mois que je leur ai envoyé un mail, ils n'ont pas donné de réponse, donc je balance tout" c'est pas de l'open source, et quand tu vois un expert qui dit "j'ai découvert une faille" dans un projet open source, soit c'est déjà corrigé, soit ca l'est effectivement en quelques heures.


Le #1996075
LinuxUser a écrit :

FRANCKYIV a écrit :


C'est ce que je disais oui, dans ce cas il ont
eu le couteau sous la gorge.
Mais ya juste un expert en sécurité que ca
choque car généralement avec l'open source
ce n'est jamais le cas, d'ou le "Après ya toujours
des exceptions" dans mon 1er commentaire.



Tu as des chiffres à me montrer pour me dire que ceci est juste une exception et non la généralité, ou alors c'est juste ton ressenti de simple utilisateur ?


C'est ce que dit un expert en sécurité de Google qui a juste l'expérience, c'est ce qui est écrit dans tous les articles traitant du problème de transmission, suffit de les comprendre, mais a priori c'est pas aussi simple que ca en à l'air.

A aucun moment je n'ai parlé de mon ressenti, mais bien de ce que dis Travis Ormandy #Trollraté


Donc tu te fis en ressenti de quelqu'un d'autre ... je vois ....

Aucune statistique généraliste, et pourtant tu en tires des généralités.

Respect !
Le #1996076
mdr
Non sur l'expérience (et non le ressenti) de dizaines de chercheurs en sécurité.
Facile de demander des chiffres qui n'existent pas (et qui ne peuvent exister de manière fiable car il y a plusieurs types de disclosure, dont le "no disclosure" ou rien ne filtre), belle méthode j'avoue, respect également

Tiens c'est cadeau:

https://www.directioninformatique.com/blogue/mise-au-point-sur-le-logiciel-libre-et-sa-securite/33013


Le #1996081
LinuxUser a écrit :

mdr
Non sur l'expérience (et non le ressenti) de dizaines de chercheurs en sécurité.
Facile de demander des chiffres qui n'existent pas (et qui ne peuvent exister de manière fiable car il y a plusieurs types de disclosure, dont le "no disclosure" ou rien ne filtre), belle méthode j'avoue, respect également

Tiens c'est cadeau:

https://www.directioninformatique.com/blogue/mise-au-point-sur-le-logiciel-libre-et-sa-securite/33013


Cadeau ...

Tu t'enfonces juste encore un peu plus ...

Comment faire des généralités sur l'opensource ... en arguant 3/4 exemples sur des milliers et des milliers de projets opensource ...

T'es juste pas crédible un instant ...
Suivre les commentaires
Poster un commentaire
Anonyme