Sinceramente avevo perso di vista lo sviluppo di MLDonkey e mi sono accorto in ritardo (molto ritardo) che il 25 Febbraio è stata rilasciata la versione 3.0.0 del programma.
L’aggiornamento è d’obbligo visto che nelle versioni precedenti fino alla 2.9.7 è presente un bug critico nell’interfaccia http che permetteva di accedere via web a file locali.
Il bug era facilmente sfruttabile aggiungendo un doppio slash dopo l’url di MLDonkey e aggiungendo il path del file che si voleva visionare, ad esempio:
http://mlhost:4080//etc/passwd
Qualche particolare aggiuntivo è reperibile qui.
Sinceramente mi lascia basito che un aspetto di così banale di software security (“I dati immessi dall’utente sono per ipotesi sempre malevoli, vanno sempre analizzati come tali” cit. ) sia venuto alla luce solo ora, dopo anni di sviluppo.
La nuova versione è disponible su SourceForge, correre ad aggiornare subito!!