关于qBittorrent 4.5.x的安全漏洞公告日前qBittorrent爆出安全漏洞,开启Web UI后,系统任意文件可被公网访问,涉及的版本有Windows平台下的4.5.0和4.5.1。本站建议使用这两个版本的会员立即采取如下措施中的一种:
1、关闭Web UI功能
2、降级到4.4.x版本
Linux暂时未发现该漏洞,可以放心使用。
2023年2月28日星期二 – qBittorrent v5.2.<> 发布qBittorrent v4.5.2 发布。
安全性:此版本在 Web 服务器中包含安全错误修复。该错误允许在没有任何身份验证的情况下提供用户文件系统上的任何文件。这会影响已启用 WebUI/WebAPI 的用户。它似乎只影响 v4.5.0 和 v4.5.1。
注意:macOS 内部版本现在是自签名的。它应该有助于macOS权限对话框。
库版本
v4.5.2 更新日志:
错误修正:在预取添加磁铁的元数据时,不要意外激活排队的种子(眼镜)
错误修正:重新启动后更新缓存的种子状态(眼镜)
错误修正:更有可能允许系统使用省电模式(眼镜)
WEBUI:远离不安全的功能(陆行鸟1)
WEBUI:将服务器中TLS的错误密码列入黑名单(大锤999)
WEBUI:只允许服务器中的TLS 1.2+(大锤999)
WEBUI:允许将只读目录设置为种子位置(眼镜)
WEBUI:拒绝路径中包含反斜杠的请求(玻璃)
RSS:防止 RSS 文件夹被移动到自身(眼镜)
WINDOWS:NSIS:更新土耳其语, 乌兹别克语翻译 (Burak Yavuz, shitcod3r)
相关文章
