Jellyfin 安全性与您
本页面由 PageTurner AI 翻译(测试版)。��未经项目官方认可。 发现错误? 报告问题 →
我们刚刚发布了 10.8.13 稳定版本。此更新修复了两个严重的安全漏洞,具体细节将在约 1-2 周后完整披露。建议您在这些漏洞公开披露前尽快更新 Jellyfin 实例。
在此次更新中,我们对 Jellyfin 的 "FFmpeg 路径" 图形界面配置选项进行了调整。具体而言,在 10.8.13 版本中,该功能已被禁用,并将在下一个主要版本(10.9.0)中完全重构。在 10.8.13 或更高版本中通过图形界面修改此值将不会生效。短期内,如需更改 FFmpeg 可执行文件,必须通过编辑 encoding.xml 配置文件(而非使用图形界面)实现,修改后需重启服务器。请注意,--ffmpeg 参数能否生效取决于您最初安装的版本;虽然建议您将其调整为匹配状态,但仍可能需要同时更新 XML 文件。
此功能源于 Emby 3.5 和 Jellyfin 早期阶段,当时用户配置自定义 FFmpeg 更为常见且经常必要,特别是为了启用硬件加速或使用比操作系统提供更新的版本。然而我们认为,目前该功能已极少使用——大多数服务器都使用默认的 jellyfin-ffmpeg 软件包,因此本次变更的影响范围有限。此次调整也不会影响现有安装或该选项的非默认配置;这些设置将被保留,仅阻止未来通过图形界面的修改。
值得庆幸的是,该功能始终要求具备 Jellyfin 实例的管理员权限,因此需要恶意管理员才能利用其进行不当操作。我们知晓此变更违反了语义化版本规范,但由于在 10.8 版本中已发现多个涉及或可能涉及此入口点的漏洞,我们决定立即移除该功能,以避免用户面临潜在风险,同时我们持续推进 10.9.0 版本的开发。虽然尚未最终确定新版本中的具体实现方案,但同样需要通过应用外部重新配置并重启服务器来确保安全性。
最后,我们提醒所有用户:授予 Jellyfin 服务器管理员权限,在很大程度上等同于授予其 shell 访问权限。即使移除此功能,管理员用户仍可执行诸多危险操作,例如删除文件或覆盖配置;插件还可能提供更高级别的访问权限(包括完整的 shell 访问)。因此最佳实践是:除非绝对必要,否则避免分配此权限,仅向可信任对象授予管理员权限,并确保这些账户使用高强度密码。此外,建议日常使用时(特别是在客户端应用中)不要使用管理员账户,以防未来这些应用中出现漏洞。