Achtung, bitte einmal patchen (ja, ich weiß welches Datum es ist, nein, kein Scherz):
WARNING: This release contains several extremely important security fixes. These vulnerabilities will be disclosed in 14 days as per our security policy. Users of all versions prior to 10.11.7 are advised to upgrade immediately.
Ob das die apis ohne login sind, die schon länger bekannt sind? Und auch der Grund sind warum man die Server nicht extern erreichbar haben soll? Hoffentlich, nur macht die Heimlichtuerrei dabei keinen Sinn…
Möglich, aber dann würde keine disclosure in 14 Tagen nötig sein IMHO.
Grundsätzlich mag ich Geheimniskrämerei nicht, aber… Es geht nur um kurze Zeiträume und manchmal ist’s sinnvoll Angreifern die Arbeit nicht zu leicht zu machen. Andererseits ist’s opensource, ich müsste also nur die Merge Request/Commits durchkämmen ob was ins Auge fällt
From a cursory look at just the security commits. Looks like the following:
GHSA-j2hf-x4q5-47j3: Checks if a media shortcut is empty, and checks if it is remote and stores the remote protocol if so. Also prevent strm files (these are meant to contain links to a stream) from referencing local files. Indeed this might have been used to reference files jellyfin couldn’t usually see?
GHSA-8fw7-f233-ffr8: Seems to be similar, except for M3U file link validation and limiting allowed protocols. It also changes the default permissions for live TV management to false.
GHSA-v2jv-54xj-h76w: When creating a structure there should be a limit of 200 characters for a string which was not enforced.
GHSA-jh22-fw8w-2v9x: Not really completely sure here. They change regex to regexstr in a lot of places and it looks like some extra validation around choosing transcoding settings.
I’m not really sure how serious any of these are, or how they could be exploited however. Well aside from the local file in stream files one.
Die ersten zwei klingen problematisch, aber Dateiberechtigungen usw. Sollten da einiges verhindern. Wäre nur die Frage, ob irgendwelche credentials für Netzwerkshares o.ä. dabei legalen könnten.
Die String Länge könnte am Ende einen Overflow oder so auslösen.
Und im letzten Fall - je nach dem, wieviel Einfluss ich auf die transcoding Einstellungen habe, könnte ich evtl. ne Command Injection haben, falls hier irgendwie ffmpeg mit exec o.ä. aufgerufen wird.
Andererseits haben die GHSA auch die Einstellung, ob sie public oder private sind. Es ist nicht auszuschließen, dass wir die relevante(n) erst in 14 Tagen lesen können.
Ich habe neulich herausgefunden, dass man Filme und Serien, die man geguckt hat, die aber nicht gut waren, auch löschen kann. Dann hat man wieder Speicher.
Ich habe gehört es gibt Leute die ihre Server teilen. Soll ich jedes mal wenn der Speicher voll ist 50 Leute fragen, welche Serien und Filme gelöscht werden können, und welche nicht? Festplatten von Bezos klauen ist einfacher
Hab den Namen vergessen, aber es gibt so ein Plugin, dass das Löschen von Sachen ankündigt. Gibt dann wie bei den Streaming Diensten auf der Startseite so eine Rubrik, wo dann steht “Noch so und so lange verfügbar”. Kann man sehr genau finetunen, wie, wann, was gelöscht wird.
Und wenn es einem User nicht passt, kann er sich ja dann melden. Vielleicht ist das sogar auch vorgesehen in dem Plugin.
Ah, hier: Jellysweep. Kann sogar mit Seerr zusammenarbeiten, also explizite Requests berücksichtigen usw. usf.
Edit: und User können wohl direkt “bitte nicht löschen” Requests einreichen.
Jellyfin schickt keine Preiserhöhungen, aber Rechnungen…
Achtung, bitte einmal patchen (ja, ich weiß welches Datum es ist, nein, kein Scherz):
https://github.com/jellyfin/jellyfin/releases/tag/v10.11.7
Ob das die apis ohne login sind, die schon länger bekannt sind? Und auch der Grund sind warum man die Server nicht extern erreichbar haben soll? Hoffentlich, nur macht die Heimlichtuerrei dabei keinen Sinn…
Möglich, aber dann würde keine disclosure in 14 Tagen nötig sein IMHO.
Grundsätzlich mag ich Geheimniskrämerei nicht, aber… Es geht nur um kurze Zeiträume und manchmal ist’s sinnvoll Angreifern die Arbeit nicht zu leicht zu machen. Andererseits ist’s opensource, ich müsste also nur die Merge Request/Commits durchkämmen ob was ins Auge fällt
Zitat von https://kbin.life/m/[email protected]/t/572856/-/comment/7483452 :
From a cursory look at just the security commits. Looks like the following:
I’m not really sure how serious any of these are, or how they could be exploited however. Well aside from the local file in stream files one.
Hmmm… Nur basierend auf der Zusammenfassung:
Die ersten zwei klingen problematisch, aber Dateiberechtigungen usw. Sollten da einiges verhindern. Wäre nur die Frage, ob irgendwelche credentials für Netzwerkshares o.ä. dabei legalen könnten.
Die String Länge könnte am Ende einen Overflow oder so auslösen.
Und im letzten Fall - je nach dem, wieviel Einfluss ich auf die transcoding Einstellungen habe, könnte ich evtl. ne Command Injection haben, falls hier irgendwie ffmpeg mit
execo.ä. aufgerufen wird.Andererseits haben die GHSA auch die Einstellung, ob sie public oder private sind. Es ist nicht auszuschließen, dass wir die relevante(n) erst in 14 Tagen lesen können.
Wieso schickt dir Wackelpuddingflosse Rechnungen?
Weil Speicher voll war :( Jetzt wieder Speicher frei :) Dafür Konto leer :( dann Bonus :)
Ich habe neulich herausgefunden, dass man Filme und Serien, die man geguckt hat, die aber nicht gut waren, auch löschen kann. Dann hat man wieder Speicher.
MGW
Blasphemie!
(Ich werde an der nächsten Festplatte Pleite gehen)
Ich habe gehört es gibt Leute die ihre Server teilen. Soll ich jedes mal wenn der Speicher voll ist 50 Leute fragen, welche Serien und Filme gelöscht werden können, und welche nicht? Festplatten von Bezos klauen ist einfacher
Hab den Namen vergessen, aber es gibt so ein Plugin, dass das Löschen von Sachen ankündigt. Gibt dann wie bei den Streaming Diensten auf der Startseite so eine Rubrik, wo dann steht “Noch so und so lange verfügbar”. Kann man sehr genau finetunen, wie, wann, was gelöscht wird.
Und wenn es einem User nicht passt, kann er sich ja dann melden. Vielleicht ist das sogar auch vorgesehen in dem Plugin.
Ah, hier: Jellysweep. Kann sogar mit Seerr zusammenarbeiten, also explizite Requests berücksichtigen usw. usf.
Edit: und User können wohl direkt “bitte nicht löschen” Requests einreichen.
Lös. chen? Was ist das? Kann man das essen?
Wie immer gibt es die wirklich nützlichen professionellen Lebensratschläge in den Kommentaren. Vielen Dank unbekannte Internetperson <3
Eine Achterbahn der Gefühle.