Súlyos biztonsági rés a KaZaA hálózatában
Tóth Kristóf, 2003. május 28. 10:54
[smallimage 1 left]Egy számítógépes biztonsági kutató jelentős biztonsági hibára bukkant a FastTrack hálózatban, amely a KaZaA és iMesh fájlcsere szoftverek alapjául szolgál.
A FastTrack-et készítő Joltid kezdetben nem tartotta komolynak a problémát, később azonban megváltoztatta álláspontját, és javítófoltot készít a hiba kiküszöbölésére. A KaZaA Media Desktop javítófoltja 24 órán belül elérhetővé válik, és a szoftver készítői arra kérik a felhasználókat, hogy a lehető leghamarabb telepítsék fel azt.
A hiba lehetővé teszi, hogy a támadók megbénítsák, vagy átvegyék az irányítását a FastTrack "supernode"-jainak, amelyhez a felhasználók kapcsolódnak. "Egyértelműen súlyos hibáról van szó, mivel rosszindulatú kód futtatására nyílik lehetőség" - mondta a hibát felfedező, Random Nut álnevet használó szakértő, aki a problémáról mintegy két héttel ezelőtt értesítette a KaZaA-t, és a Joltid-t.
A probléma súlyát némileg csökkenti, hogy a szakértő a biztonsági rés kihasználásához szükséges kódot nem tette elérhetővé. "Nem adtam ki a kódot, mivel nem akarom, hogy néhány script-kiddie részben vagy teljesen lebénítsa a hálózatot" - mondta Random Nut.
A KaZaA mögött álló Sharman Networks képviselője szerint a társaság a Joltid-től azt az információt kapta, hogy a probléma nem súlyos. "Mint licensztulajdonos, a Sharman Networks azt az információt kapta, hogy a FastTrack P2P hálózat biztonságát nem fenyegeti komoly veszély" - mondta a képviselő.
"A Sharman Networks egy frissítést kapott a FastTrack fejlesztőitől, amely megoldást jelent a problémára" - áll a társaság közleményében. "A javítás 24 órán belül letölthető lesz a KaZaA weboldaláról, és minden felhasználót a javítófolt mielőbbi feltelepítésére kérünk."