BitTorrent lukker DDoS-hul

Artiklen blev oprindeligt publiceret den 28/8/2015

BitTorrent har udsendt en opdatering, der skulle gøre det vanskeligere at misbruge protokollen til DDoS-angreb (Distributed Denial of Service) med forstærkning.

Forskere har for nylig beskrevet sårbarheder, der gør det muligt at misbruge BitTorrent-protokoller til såkaldte reflection DDoS-angreb.

Udviklerne har identificeret en af sårbarhederne: Biblioteket libuTP tjekkede ikke en bekræftelsesværdi. Det gør det nu. Dermed skulle det ikke være muligt at forfalske en afsenderadresse og få sendt store mængder trafik til offeret.

Fejlen er rettet i uTorrent (3.4.4 40911), BitTorrent (7.9.5 40912) og BitTorrent Sync (2.1.3), forudsat at de bruger libuTP.

Anbefaling
Opdater til en rettet version.

Links

• DRDoS, UDP-Based protocols and BitTorrent, blogindlæg fra BitTorrent
• BitTorrent Details Method Used to Prevent DRDoS Attacks, artikel fra SecurityWeek
• BitTorrent kan misbruges til DDoS-angreb, DKCERT 26-08-2015