漏洞信息详情

BitTorrent DHT 输入验证漏洞

• CNNVD编号：CNNVD-201507-829
• 危害等级： 高危
  
• CVE编号： CVE-2015-5685
• 漏洞类型： 输入验证
• 发布时间： 2015-07-31
• 威胁类型： 远程
• 更新时间： 2015-08-14
• 厂        商： bittorrent
• 漏洞来源： Team_LPJ@BoB

漏洞简介

BitTorrent是美国BitTorrent公司的一套基于BitTorrent协议的点对点文件上传、下载软件。BitTorrent DHT bootstrap server（bootstrap-dht）是其中的一个DHT（分布式哈希表）引导服务器，它的主要作用是将DHT网络（网络节点哈希列表）引导到BitTorrent中。

BitTorrent DHT引导服务器的‘lazy_bdecode’函数存在安全漏洞。远程攻击者可通过发送特制的数据包利用该漏洞执行任意代码。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：

http://www.bittorrent.org/

参考网址

来源:www.zerodayinitiative.com

链接:http://www.zerodayinitiative.com/advisories/ZDI-15-367/

来源:github.com

链接:https://github.com/bittorrent/bootstrap-dht/commit/e809ea80e3527e32c40756eddd8b2ae44bc3af1a

来源:www.zerodayinitiative.com

链接:http://www.zerodayinitiative.com/advisories/ZDI-15-366/

受影响实体

• Bittorrent Bootstrap-Dht:-  

补丁

• lazy_bdecode.cpp