Achtung, bitte einmal patchen (ja, ich weiß welches Datum es ist, nein, kein Scherz):
WARNING: This release contains several extremely important security fixes. These vulnerabilities will be disclosed in 14 days as per our security policy. Users of all versions prior to 10.11.7 are advised to upgrade immediately.
Ob das die apis ohne login sind, die schon länger bekannt sind? Und auch der Grund sind warum man die Server nicht extern erreichbar haben soll? Hoffentlich, nur macht die Heimlichtuerrei dabei keinen Sinn…
Möglich, aber dann würde keine disclosure in 14 Tagen nötig sein IMHO.
Grundsätzlich mag ich Geheimniskrämerei nicht, aber… Es geht nur um kurze Zeiträume und manchmal ist’s sinnvoll Angreifern die Arbeit nicht zu leicht zu machen. Andererseits ist’s opensource, ich müsste also nur die Merge Request/Commits durchkämmen ob was ins Auge fällt
From a cursory look at just the security commits. Looks like the following:
GHSA-j2hf-x4q5-47j3: Checks if a media shortcut is empty, and checks if it is remote and stores the remote protocol if so. Also prevent strm files (these are meant to contain links to a stream) from referencing local files. Indeed this might have been used to reference files jellyfin couldn’t usually see?
GHSA-8fw7-f233-ffr8: Seems to be similar, except for M3U file link validation and limiting allowed protocols. It also changes the default permissions for live TV management to false.
GHSA-v2jv-54xj-h76w: When creating a structure there should be a limit of 200 characters for a string which was not enforced.
GHSA-jh22-fw8w-2v9x: Not really completely sure here. They change regex to regexstr in a lot of places and it looks like some extra validation around choosing transcoding settings.
I’m not really sure how serious any of these are, or how they could be exploited however. Well aside from the local file in stream files one.
Die ersten zwei klingen problematisch, aber Dateiberechtigungen usw. Sollten da einiges verhindern. Wäre nur die Frage, ob irgendwelche credentials für Netzwerkshares o.ä. dabei legalen könnten.
Die String Länge könnte am Ende einen Overflow oder so auslösen.
Und im letzten Fall - je nach dem, wieviel Einfluss ich auf die transcoding Einstellungen habe, könnte ich evtl. ne Command Injection haben, falls hier irgendwie ffmpeg mit exec o.ä. aufgerufen wird.
Andererseits haben die GHSA auch die Einstellung, ob sie public oder private sind. Es ist nicht auszuschließen, dass wir die relevante(n) erst in 14 Tagen lesen können.
Achtung, bitte einmal patchen (ja, ich weiß welches Datum es ist, nein, kein Scherz):
https://github.com/jellyfin/jellyfin/releases/tag/v10.11.7
Ob das die apis ohne login sind, die schon länger bekannt sind? Und auch der Grund sind warum man die Server nicht extern erreichbar haben soll? Hoffentlich, nur macht die Heimlichtuerrei dabei keinen Sinn…
Möglich, aber dann würde keine disclosure in 14 Tagen nötig sein IMHO.
Grundsätzlich mag ich Geheimniskrämerei nicht, aber… Es geht nur um kurze Zeiträume und manchmal ist’s sinnvoll Angreifern die Arbeit nicht zu leicht zu machen. Andererseits ist’s opensource, ich müsste also nur die Merge Request/Commits durchkämmen ob was ins Auge fällt
Zitat von https://kbin.life/m/[email protected]/t/572856/-/comment/7483452 :
From a cursory look at just the security commits. Looks like the following:
I’m not really sure how serious any of these are, or how they could be exploited however. Well aside from the local file in stream files one.
Hmmm… Nur basierend auf der Zusammenfassung:
Die ersten zwei klingen problematisch, aber Dateiberechtigungen usw. Sollten da einiges verhindern. Wäre nur die Frage, ob irgendwelche credentials für Netzwerkshares o.ä. dabei legalen könnten.
Die String Länge könnte am Ende einen Overflow oder so auslösen.
Und im letzten Fall - je nach dem, wieviel Einfluss ich auf die transcoding Einstellungen habe, könnte ich evtl. ne Command Injection haben, falls hier irgendwie ffmpeg mit
execo.ä. aufgerufen wird.Andererseits haben die GHSA auch die Einstellung, ob sie public oder private sind. Es ist nicht auszuschließen, dass wir die relevante(n) erst in 14 Tagen lesen können.