|
|
|
Secciones
Login Barrapunto
movzx (10440)
Publicidad
Publicidad
Martes, 21 de Octubre 2003
Consulta: ¿he descubierto un bug, que hago?
03:28h.
Antes de nada, bienvenidos a mi bitácora :)
Allá vamos. Hace tiempo descubrí un fallo en la implementacion de los clientes de la red P2P soulseek. En concreto me refiero a pyslsk (Linux, Mac), nicotine (Linux, Mac) y Soulseek (Win, oficial). Si no me equivoco estos son todos, el oficial se lleva el 99% de los clientes.
Gracias a este fallo se puede bloquear la aplicación fácilmente, deteniendo todas las transferencias, y comprometer la estabilidad del sistema de la víctima (el proceso utiliza 99% de CPU). Resultaria trivial programar un "bot" que conectara a la red y tirara a todos los usuarios que buscan un patrón determinado, por ejemplo.
Pues bien, me decidí por comentarlo con los desarrolladores de los 2 libres (pyslsk y nicotine), pero no me han hecho mucho caso... ¿Que debo hacer? ¿Insisto? ¿Lo hago público con exploit incluido? ¿Me quedo calladito que estoy mas guapo? ¿LLamo a los amigos de la RIAA y les vendo mi idea?. No seria muy complicado con unas pocas maquinas tirar a *todos* los clientes de la red (hay un unico servidor y se puede obtener un listado con los nicknames de los clientes)
Allá vamos. Hace tiempo descubrí un fallo en la implementacion de los clientes de la red P2P soulseek. En concreto me refiero a pyslsk (Linux, Mac), nicotine (Linux, Mac) y Soulseek (Win, oficial). Si no me equivoco estos son todos, el oficial se lleva el 99% de los clientes.
Gracias a este fallo se puede bloquear la aplicación fácilmente, deteniendo todas las transferencias, y comprometer la estabilidad del sistema de la víctima (el proceso utiliza 99% de CPU). Resultaria trivial programar un "bot" que conectara a la red y tirara a todos los usuarios que buscan un patrón determinado, por ejemplo.
Pues bien, me decidí por comentarlo con los desarrolladores de los 2 libres (pyslsk y nicotine), pero no me han hecho mucho caso... ¿Que debo hacer? ¿Insisto? ¿Lo hago público con exploit incluido? ¿Me quedo calladito que estoy mas guapo? ¿LLamo a los amigos de la RIAA y les vendo mi idea?. No seria muy complicado con unas pocas maquinas tirar a *todos* los clientes de la red (hay un unico servidor y se puede obtener un listado con los nicknames de los clientes)
Este hilo ha sido archivado.
No pueden publicarse nuevos comentarios.
Consulta: ¿he descubierto un bug, que hago?
|
Log in/Crear cuenta
| Top
| 1 comentarios
| Buscar hilo
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
Obrar mucho, y hablar poco; que lo demás es de loco.
Barrapunto © 1999-2007. Contenido disponible bajo licencia Creative Commons Reconocimiento 2.5
Aviso legal
Barrapunto © 1999-2007. Contenido disponible bajo licencia Creative Commons Reconocimiento 2.5
Aviso legal
Coméntaselo
(Puntos:1)( Última bitácora: Domingo, 20 Julio de 2008, 01:26h )