this post was submitted on 01 Apr 2026
118 points (100.0% liked)

ich_iel

4640 readers
450 users here now

Die offizielle Zweigstelle von ich_iel im Fediversum.

Alle Pfosten müssen den Titel 'ich_iel' haben, der Unterstrich darf durch ein beliebiges Symbol oder Bildschriftzeichen ersetzt werden. Ihr dürft euch frei entfalten!

Matrix

📱 Empfohlene Schlaufon-Applikationen für Lassmich

Befreundete Kommunen:

!wir_iel@feddit.org

!i_itrl@feddit.org

!ich_ial@lemmy.world

!zunftgemeinde@feddit.org

!ki_iel@feddit.org

Sonstiges:

Zangendeutsch-Wörterbuch

Regeln:

1. Seid nett zueinander

Diskriminierung anderer Benutzer, Beleidigungen und Provokationen sind verboten.

2. Pfosten müssen den Titel 'ich_iel' oder 'ich iel' haben

Nur Pfosten mit dem Titel 'ich_iel' oder 'ich iel' sind zugelassen. Alle anderen werden automatisch entfernt.

Unterstrich oder Abstand dürfen durch ein beliebiges Textsymbol oder bis zu drei beliebige Emojis ersetzt werden.

3. Keine Hochwähl-Maimais oder (Eigen)werbung

Alle Pfosten, die um Hochwählis bitten oder Werbung beinhalten werden entfernt. Hiermit ist auch Eigenwerbung gemeint, z.b. für andere Gemeinschaften.

4. Keine Bildschirmschüsse von Unterhaltungen

Alle Pfosten, die Bildschirmschüsse von Unterhaltungen, wie beispielsweise aus WasistApplikaton oder Zwietracht zeigen, sind nicht erlaubt. Hierzu zählen auch Unterhaltungen mit KIs.

5. Keine kantigen Beiträge oder Meta-Beiträge

ich_iel ist kein kantiges Maimai-Brett. Meta-Beiträge, insbesondere über gelöschte oder gesperrte Beiträge, sind nicht erlaubt.

6. Keine Überfälle

Wer einen Überfall auf eine andere Gemeinschaft plant, muss diesen zuerst mit den Mods abklären. Brigadieren ist strengstens verboten.

7. Keine Ü40-Maimais

Maimais, die es bereits in die WasistApplikation-Familienplauderei geschafft haben oder von Rüdiger beim letzten Stammtisch herumgezeigt wurden, sind besser auf /c/ichbin40undlustig aufgehoben.

8. ich_iel ist eine humoristische Plattform

Alle Pfosten auf ich_iel müssen humorvoll gestaltet sein. Humor ist subjektiv, aber ein Pfosten muss zumindest einen humoristischen Anspruch haben. Die Atmosphäre auf ich_iel soll humorvoll und locker gehalten werden.

9. Keine Polemik, keine Köderbeiträge, keine Falschmeldungen

Beiträge, die wegen Polemik negativ auffallen, sind nicht gestattet. Desweiteren sind Pfosten nicht gestattet, die primär Empörung, Aufregung, Wut o.Ä. über ein (insbesonders, aber nicht nur) politisches Thema hervorrufen sollen. Die Verbreitung von Falschmeldungen ist bei uns nicht erlaubt.

Bitte beachtet auch die Regeln von Feddit.org

founded 2 years ago
MODERATORS
Hubi@feddit.org
instantnudel@feddit.org
118
ich1️⃣🗓️🤡iel (feddit.org)
submitted 2 days ago by Cacktus@feddit.org to c/ich_iel@feddit.org
15 comments fedilink hide all child comments
 
you are viewing a single comment's thread
view the rest of the comments
[–] elvith@feddit.org 19 points 2 days ago (1 children)

Achtung, bitte einmal patchen (ja, ich weiß welches Datum es ist, nein, kein Scherz):

WARNING: This release contains several extremely important security fixes. These vulnerabilities will be disclosed in 14 days as per our security policy. Users of all versions prior to 10.11.7 are advised to upgrade immediately.

https://github.com/jellyfin/jellyfin/releases/tag/v10.11.7

[–] UxyIVrljPeRl@lemmy.world 1 points 2 days ago (1 children)

Ob das die apis ohne login sind, die schon länger bekannt sind? Und auch der Grund sind warum man die Server nicht extern erreichbar haben soll? Hoffentlich, nur macht die Heimlichtuerrei dabei keinen Sinn...

[–] elvith@feddit.org 5 points 2 days ago (1 children)

Möglich, aber dann würde keine disclosure in 14 Tagen nötig sein IMHO.

Grundsätzlich mag ich Geheimniskrämerei nicht, aber... Es geht nur um kurze Zeiträume und manchmal ist's sinnvoll Angreifern die Arbeit nicht zu leicht zu machen. Andererseits ist's opensource, ich müsste also nur die Merge Request/Commits durchkämmen ob was ins Auge fällt

[–] needanke@feddit.org 3 points 2 days ago (1 children)

Zitat von https://kbin.life/m/selfhosted@lemmy.world/t/572856/-/comment/7483452 :

From a cursory look at just the security commits. Looks like the following:

  • GHSA-j2hf-x4q5-47j3: Checks if a media shortcut is empty, and checks if it is remote and stores the remote protocol if so. Also prevent strm files (these are meant to contain links to a stream) from referencing local files. Indeed this might have been used to reference files jellyfin couldn't usually see?
  • GHSA-8fw7-f233-ffr8: Seems to be similar, except for M3U file link validation and limiting allowed protocols. It also changes the default permissions for live TV management to false.
  • GHSA-v2jv-54xj-h76w: When creating a structure there should be a limit of 200 characters for a string which was not enforced.
  • GHSA-jh22-fw8w-2v9x: Not really completely sure here. They change regex to regexstr in a lot of places and it looks like some extra validation around choosing transcoding settings.

I'm not really sure how serious any of these are, or how they could be exploited however. Well aside from the local file in stream files one.

[–] elvith@feddit.org 3 points 2 days ago

Hmmm... Nur basierend auf der Zusammenfassung:

Die ersten zwei klingen problematisch, aber Dateiberechtigungen usw. Sollten da einiges verhindern. Wäre nur die Frage, ob irgendwelche credentials für Netzwerkshares o.ä. dabei legalen könnten.

Die String Länge könnte am Ende einen Overflow oder so auslösen.

Und im letzten Fall - je nach dem, wieviel Einfluss ich auf die transcoding Einstellungen habe, könnte ich evtl. ne Command Injection haben, falls hier irgendwie ffmpeg mit exec o.ä. aufgerufen wird.

Andererseits haben die GHSA auch die Einstellung, ob sie public oder private sind. Es ist nicht auszuschließen, dass wir die relevante(n) erst in 14 Tagen lesen können.