forum.opennet.ru

"Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Второй уровень иерархии тем в форуме реализован через вкладку "Показ ключевых тем".

. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+/–
Сообщение от Аноним (-), 18-Янв-18, 01:31
> Управление бывает разным. Ну да. И как на мой вкус, прицепиться к РЕМОТНОМУ демону торентокачалки на роутере или одноплатнике очень удобно. Что через вебморду что gtk/qt мордой по тому же протоколу. > watch-dir И как мне этим вачдиром воспользоваться, если демон въе где-то там, на роутере или одноплатнике с хардом под торенты? Пробрасывать его оттуда? > incomplete-dir Что - incomplete dir? Если я локально нечто запущу, то могу на GTK или Qt прогу посмотреть, как на интерфейс. Демона же обычно запускают на неинтерактивной машине без гуя и incomplete-dir где-нить на одноплатнике, роутере или серваке очень мне приболел пользоваться им где-то там. Собссно у сабжа vuln случался только в идиотской ситуации когда управление разрешено, пароль не поставлен, а ремотная вебпага синхронно с днс решили на пару приколоться над растяпой. Это, конечно, тоже безобразие. Но масштаб проблемы весьма маргинальный и затрагивает только каких-то очень странных людей, зачем-то пускающих клиент без авторизации. И таки да, если морда без авторизации, стоит быть готовым что кто угодно подкрутит немного настройки в этой морде. Странно, правда?
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..., opennews, 16-Янв-18, 09:57 [смотреть все]

А есть Torrent-клиенты без поддержки JavaScript типа как Links2 среди веб-брау, Аноним, 16-Янв-18, 09:57 (1) //
- rtorrent Без финтефлюшек Стоковый чисто из cli, Аноним, 16-Янв-18, 10:09 (5) //
  - Хороший клиент Только демонизироваться не умеет, к сожалению, поэтому приходитс, scorry, 16-Янв-18, 11:55 (24) //
    - запускаю его в screen-e, Ващенаглухо, 16-Янв-18, 15:55 (40)
      - У меня аналогичная история, дружище Так он у меня и работает, с мордой на руТор, scorry, 16-Янв-18, 16:09 (42)
    - git версия умеет branch feature-bind , ., 16-Янв-18, 16:09 (41)
      - О Интересно Спасибо, посмотрю Форк или фича от автора , scorry, 16-Янв-18, 16:10 (43)
    - Я его патчил чтобы он демоном был, при этой гуй консольный выпиливал Автор патч , Ivan_83, 16-Янв-18, 16:29 (44)
      - Пожалуйста, выложите А чем управляли без гуя 8212 через веб , scorry, 16-Янв-18, 17:44 (45)
        
        http www netlab linkpc net wiki ru software rtorrent daemonСкрипт rc d под фрю, Ivan_83, 16-Янв-18, 17:53 (46)
        
        Благодарю , scorry, 16-Янв-18, 18:23 (51)
    - и вебфэйс еще ужаснее, и RPC протокол вместе с ним те же яйца, вид в профиль, Аноним, 17-Янв-18, 03:13 (70)
      - Ну не знаю Раз настроил, плагинов понацеплял, и работает себе Веб-фейс, кста, scorry, 17-Янв-18, 12:05 (78)
        
        Для трансмишна тоже морд хватает И в отличие от всего этого креатива это просто, Аноним, 18-Янв-18, 00:36 (80)
        
        Ну, роутеры, положим, очень разными бывают, как и одноплатники Не знаю, я не пис, scorry, 18-Янв-18, 11:23 (83)
        
        Трансмишн прекрасно живет на хомякороутере с 64 мегами RAM или более Можно даже, Аноним, 19-Янв-18, 00:27 (87)
  - Торрентокачалка без 181 TP - это примерно как комп без USB , Онаним, 18-Янв-18, 21:30 (85) //
    - А при чем тут uTP Как он к JS относится Transmission кстати uTP умеет давным д, Аноним, 19-Янв-18, 00:28 (88)
  - У него тоже не всё везде хорошо https www opennet ru opennews art shtml num 48, ABATAPA, 02-Мрт-18, 13:47 (95)
- rtorrent, Аноним, 16-Янв-18, 10:10 (7)
- Этот JS - для страницы, которая будет XHR слать , Crazy Alex, 16-Янв-18, 10:43 (13)
- Так javascript выполняется не в torrent клиенте, а в браузере пользователя, на х, Рыба ест людей, 16-Янв-18, 11:31 (21)
- aria2 , минонА, 16-Янв-18, 12:47 (27) //
  - Парадокс rtorrent и aria2 в том что их тоже тухловато без вебгуя использовать И, Аноним, 17-Янв-18, 00:16 (56)
- Можно у сабжа не включать RPC или включить но с паролем Он собственно и отключе, Аноним, 17-Янв-18, 03:12 (69)
- lftp лень листать комменты, может уже и успели посоветовать, хз , тигар, 17-Янв-18, 22:09 (79) //
  - Раз у Вас в телнете даже поиск не работает -- давайте хоть я сообщу нет, не усп, Michael Shigorin, 18-Янв-18, 22:50 (86)
Еще один плюс в использовании LEDE Браузер на ноуте, transmission на роутере , Онанимус, 16-Янв-18, 10:02 (2) //
- А уязвимость та же, хоть и чуть больше времени уйдет на перебор ip роутера Или , angra, 16-Янв-18, 10:52 (14) //
  - Принципиальная разница в использовании пароля , Аноним, 16-Янв-18, 11:09 (18) //
    - При использовании пароля и localhost вариант неуязвим , angra, 17-Янв-18, 01:59 (58)
      - Интерфейс ремотного управления без пароля - вообще не очень хорошая идея, мягко , Аноним, 17-Янв-18, 03:17 (71)
  - Я думаю, что есть принципиальная разница между автоматическим харвейстером и руч, Онанимус, 16-Янв-18, 13:06 (28) //
    - А причем здесь ручной взлом Будет на страничке не один iframe и A запись, а нес, angra, 17-Янв-18, 02:09 (61)
      - Вот и я о том же Ни кто не будет писать зловреда, перебирающего не то что IPv6,, Онанимус, 17-Янв-18, 10:07 (75)
  - Ну, скорее всего, в этом случае DNS браузеру будет отдавать сам роутер и застави, КО, 16-Янв-18, 14:36 (35) //
    - Ты вообще в курсе, как работают NS в кеширующем режиме Для того, чтобы они игно, angra, 17-Янв-18, 02:06 (60)
- Заменяем 127 0 0 1 на 192 168 1 1 и повторяем , noname.htm, 16-Янв-18, 12:10 (26) //
  - Отсюда мораль не оставлять дефолтный айпи у роутера Для пущих лулзов использов, Аноним, 17-Янв-18, 02:32 (62)
Я что-то не правильнт прочитал илиэ о очередная уязвимость браузеров , Аноним, 16-Янв-18, 10:06 (3) //
- В веб обычная практика когда один домен имеет несколько IP адресов, так что скор, nazarpc, 16-Янв-18, 10:18 (10)
- Это использование давно известной принципиальной уязвимости браузеров применител, angra, 16-Янв-18, 10:56 (16) //
  - А почему её до сих пор не закрыли Ведь 127 0 0 1 - это локальный адрес Кстати, , Аноним, 17-Янв-18, 00:15 (55) //
    - Которым активно пользуются при разработке То есть он вполне валиден , angra, 17-Янв-18, 02:02 (59)
    - И что, теперь к локальной машине нельзя обращаться по имени Это не уязвимость бр, КО, 17-Янв-18, 10:06 (74)
Есть Torrential https www opennet ru opennews art shtml num 47429, Аноним, 16-Янв-18, 10:06 (4) //
- Или если надо много настроек, то qBittorrent https www opennet ru opennews art, Аноним, 16-Янв-18, 10:14 (9) //
  - qBittorent вообще-то из коробки полон JavaScript ов - https github com qbit, Аноним, 16-Янв-18, 10:55 (15) //
    - Просвяти нас, о мудрейший, как сделать динамический вебгуй без яваскрипта , НяшМяш, 16-Янв-18, 13:11 (30)
      - С помощью CSS , Аноним, 16-Янв-18, 18:06 (47)
        
        И как CSSом подтянуть обновленные статусы торрентов , Аноним, 17-Янв-18, 00:21 (57)
        Который точно также позволяет отправить запрос на 127 0 0 1 в каком-нибудь блоке, КО, 17-Янв-18, 10:10 (76)
Что за дурацкая привычка появилась у айтишников Не в первый раз уже в этом году, Аноним, 16-Янв-18, 10:09 (6) //
- Ага Появилась , анонимоус, 16-Янв-18, 10:11 (8)
- Вообще-то это неправда и разработчики таки отреагировали То, что руки в конечно, Аноним, 16-Янв-18, 10:23 (11)
- https ftp openbsd org pub OpenBSD songs song60a ogg, Аноним, 16-Янв-18, 13:12 (31)
- Видимо, так всем удобнее, rewwa, 29-Янв-18, 23:37 (92)
- Да всем побоку просто , scorry, 30-Янв-18, 13:06 (93)
С этого надо было начинать , Аноним, 16-Янв-18, 10:31 (12) //
- Это например дефолтная настройка в NAS от Asustor , Аноним, 16-Янв-18, 18:08 (48) //
  - А ssh без пароля у них нет Или только инженерные логины , Аноним, 17-Янв-18, 02:33 (63)
И каким образом эту уязвимость исправили в Debian , Green, 16-Янв-18, 11:04 (17) //
- apt -y purge transmission, EHLO, 16-Янв-18, 11:31 (20) //
  - Хорошо что ты не врач , Аноним, 17-Янв-18, 02:34 (64)
- Полагаю, тем же, что и в Gentoo Проверяют заголовок Host , Аноним, 16-Янв-18, 12:08 (25)
Чет столько понаписали, а тут всего лишь CSRF DNS rebinding , Рыба ест людей, 16-Янв-18, 11:29 (19)
Т е нужно 1 состряпать подлую страницу2 хакнуть DNS3 хакнуть хост с бакендом, adolfus, 16-Янв-18, 11:36 (22) //
- DNS хакать не нужно Достаточно купить доменное имя и правильно настроить свой, Рыба ест людей, 16-Янв-18, 11:43 (23) //
  - И что тут странного Предлагаете два десктопа заводить , paulus, 16-Янв-18, 13:55 (34) //
    - Transmission умеет работать в режиме десктопного приложения И тогда порты не от, Рыба ест людей, 16-Янв-18, 14:58 (37)
      - Каким образом режим демона связан с доступностью порта управления , scorry, 16-Янв-18, 15:26 (38)
        
        Демон без управления штука непрактичная Все-таки торенты надо как-то добавить н, Аноним, 17-Янв-18, 02:44 (65)
        
        Управление бывает разным watch-dirincomplete-dir, scorry, 17-Янв-18, 12:01 (77)
        
        Ну да И как на мой вкус, прицепиться к РЕМОТНОМУ демону торентокачалки на роуте , Аноним, 18-Янв-18, 01:31 (82)
        
        Послушайте, вы спросили 8212 я ответил Есть способ бросать файлы Есть Вы н, scorry, 18-Янв-18, 11:26 (84)
        
        Да можно то что угодно Тут скорее уместен вопрос а нафига Нафига это делать, Аноним, 19-Янв-18, 00:36 (89)
Качать маковерсию с офсайта уже безопасно А то они несколько раз протрояненную , Онаним, 16-Янв-18, 13:11 (29) //
- После первого случая перешёл на qBittorrent Хоть под макакосью и страшный особ, НяшМяш, 16-Янв-18, 13:13 (32)
Эх, какие разработчики Transmission переехал на github как раз после того, как , Андрей, 16-Янв-18, 13:38 (33) //
- Да уж, к сожалению разработка у Трансмиссии совсем встала В последнее время я л, Kuromi, 17-Янв-18, 00:02 (54) //
  - code commit eb5d1a79cbe1b9bc5b22fdcc598694ecd4d02f43Merge c8696df cf7173dAutho, Аноним, 17-Янв-18, 02:55 (67) //
    - Ну как зачем В Тиксати смотришь - ага, имеются пиры, которые, гады, не передают, Kuromi, 20-Янв-18, 00:28 (90)
      - В тиксати смотришь - неведомый блоб, который хрен запустишь на роутере Обламыва, Аноним, 21-Янв-18, 05:09 (91)
- Шутить изволишь На гитхабе все те же лица что и в траке раньше А то что на гит, Аноним, 17-Янв-18, 02:47 (66) //
  - Не вижу активного участия Jordan Lee и Mitchell Livingston Только в конце 2014-, Андрей, 17-Янв-18, 04:06 (72) //
    - Ну это да Впрочем Jordan делал core, к нему вроде крупных проблем и претензий н, Аноним, 18-Янв-18, 01:22 (81)
ну если без пароля -- тогда о чём вообще разговор тожемне уязвимость, X4asd, 16-Янв-18, 15:32 (39)
А при чём тут transmission , Аноним, 16-Янв-18, 18:11 (50) //
- Так ставьте Whonix, и в тоннель ныряйте пока от туда свет не показался , Аноним, 16-Янв-18, 21:53 (52)
gRPC у них мозгов запилить не хватило, зато можно юзать дырявые RPC , Мрак Цукерович, 16-Янв-18, 22:15 (53) //
- У них RPC ориентирован на работу с вебмордами, по сути AJAX обычный, порт управл, Аноним, 17-Янв-18, 03:02 (68)
на Убунту патч пришёл сегодня , Аноним, 17-Янв-18, 05:19 (73)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру