Jellyfin Beveiliging & Jij
Deze pagina is vertaald door PageTurner AI (beta). Niet officieel goedgekeurd door het project. Een fout gevonden? Probleem melden →
We hebben zojuist onze stabiele versie 10.8.13 uitgebracht. Deze release verhelpt twee ernstige beveiligingslekken, die over ongeveer 1-2 weken volledig worden beschreven. We raden je aan om je Jellyfin-installaties zo snel mogelijk bij te werken voordat deze lekken openbaar worden gemaakt.
Als onderdeel van deze release hebben we een wijziging aangebracht in het gedrag van de "FFmpeg-pad" GUI-configuratieoptie in Jellyfin. Specifiek is deze functionaliteit in versie 10.8.13 uitgeschakeld en zal deze volledig worden vervangen in de volgende hoofdversie (10.9.0). Het bewerken van deze waarde in de GUI in 10.8.13 of later zal deze niet veranderen. Op korte termijn moeten gebruikers die wijzigingen aan hun FFmpeg-binaire bestand willen aanbrengen, dit doen door het encoding.xml configuratiebestand te bewerken in plaats van de GUI te gebruiken, en de server moet opnieuw worden opgestart na de wijziging. Houd er rekening mee dat de --ffmpeg-vlag dit al dan niet voor je verandert, afhankelijk van de oorspronkelijk geïnstalleerde versie; hoewel je deze zou moeten aanpassen, moet je mogelijk ook het XML-bestand bijwerken.
Deze functie/optie stamt uit Emby 3.5 en de begindagen van Jellyfin, toen gebruikersconfiguratie van een aangepaste FFmpeg veel gebruikelijker en vaak nodig was, vooral om hardwareversnelling of een nieuwere versie te bieden dan het hostbesturingssysteem leverde. Op dit moment zijn we echter van mening dat dit een weinig gebruikte functie is, waarbij de meeste servers onze standaard jellyfin-ffmpeg-pakketten gebruiken. Daarom denken we dat de impact van deze wijziging minimaal is. De wijziging heeft ook geen invloed op bestaande installaties of niet-standaardconfiguraties van deze waarde; deze worden behouden, en alleen toekomstige wijzigingen in de GUI worden geblokkeerd.
Gelukkig vereiste deze optie altijd al administratorrechten voor de Jellyfin-instance, en was dus een kwaadwillende administrator nodig om deze voor slechte doeleinden te misbruiken. We weten dat deze wijziging Semantic Versioning-standaarden schendt, maar na verschillende kwetsbaarheden in 10.8 waarbij dit eindpunt als vector fungeerde of mogelijk kon fungeren, hebben we besloten het nu te verwijderen om verdere blootstelling voor onze gebruikers te voorkomen terwijl we werken aan 10.9.0. Hoewel we nog niet volledig hebben besloten hoe deze functionaliteit daar wordt geïmplementeerd, zal het op dezelfde manier herconfiguratie buiten de applicatie en een serverherstart vereisen om veiligheid te garanderen.
Tot slot willen we alle gebruikers eraan herinneren dat het verlenen van administrator-toegang tot een Jellyfin-server in veel opzichten gelijkstaat aan het verlenen van shell-toegang. Een administratieve gebruiker kan gevaarlijke en destructieve acties uitvoeren, zoals bestanden verwijderen of configuraties overschrijven, zelfs zonder deze functie; plugins kunnen zelfs meer toegang verlenen, inclusief volledige shell-toegang als de plugin daarvoor kiest. Daarom is het altijd veiliger om dit voorrecht alleen uit te reiken wanneer strikt noodzakelijk, en administratorrechten alleen te verlenen aan vertrouwde personen met accounts met sterke wachtwoorden. Bovendien raden we aan geen administratieve gebruiker te gebruiken voor dagelijks gebruik, vooral niet in clientapplicaties, voor het geval er toekomstige kwetsbaarheden in deze applicaties worden ontdekt.