В продуктах BitTorrent исправлена брешь, позволяющая осуществлять DDoS-атаки

BitTorrent исправила уязвимость в своем программном обеспечении, позволявшую осуществлять DDoS-атаки. Исправления содержат новейшие версии uTorrent, BitTorrent mainline и BitTorrent Sync, выпущенные после 4 августа нынешнего года.

Ранее в этом месяце ИБ-исследователь из Лондонского городского университета Флориан Адамски (Florian Adamsky)  сообщил , что уязвимость в библиотеке libuTP BitTorrent-клиентов и BitTorrent Sync может эксплуатироваться злоумышленниками для осуществления DDoS-атак с применением техник усиления и отражения.

Брешь удалось устранить путем модифицирования libuTP. Теперь библиотека корректно проверяет номер ACK, сопутствующий второму запросу. В случае несовпадения с номером, отправленным жертве в первом пакете, соединение прерывается.

Выпущенные исправления не предотвращают использование ПО для отражения DDoS-атак, однако сводят на нет эффект усиления. Обновления также не влияют на обратную совместимость с более старыми версиями программ и ПО от сторонних разработчиков, которое использует libuTP. Другие разработанные компанией BitTorrent протоколы, зависимые от этой библиотеки, к примеру, Message Stream Encryption (MSE), теперь также защищены.