rtorrent 的 XML-RPC 存在可利用漏洞

国外网站 arstechnica 发表了一篇文章,称有黑客利用 rtorrent 的漏洞,在受害者服务器上安装挖矿工具,赚了3900美元。

这个漏洞和最近 uTorrent、Transmission 爆出的漏洞类似。rtorrent 使用了 XML-RPC 这个软件来实现 web-ui 服务,而使用 TCP sockets 方式配置的 RPC,不需要任何验证就可以执行 shell 命令。

uTorrent 客户端受多个严重漏洞影响

谷歌 Project Zero 安全研究员 Tavis Ormandy 发现 uTorrent的 web 和桌面客户端受多个漏洞影响,可导致攻击者通过恶意软件感染受害者或者收集用户的下载历史数据。

这些漏洞影响 uTorrent BitTorrent 客户端的 web 新版本 uTorrent Web,以及为多数人所知的 uTorrent 客户端 uTorrent Classic。