frank
13.04.2020, aktualisiert um 15:56:18 Uhr
view3643
view2
0
Goto Top

Konfigurationsfehler in der Jitsi Meet Docker Version sorgt für Sicherheitslücke

InformationInternetInstant Messaging
In Jitsi Meet gibt es einen Konfigurationsfehler zwischen der BOSH-Schnittstelle und mit dem mitgelieferten XMPP-Server Prosody. Die Entwickler haben dort das Standardpasswort "passw0rd" eingerichtet. Auf diesen Accounts kann man von außen zugreifen. Der Fehler betrifft wohl nur die Docker Variante von Jitsi Meet.

https://github.com/jitsi/docker-jitsi-meet/blob/master/CHANGELOG.md

Es gibt mittlerweile angepasste Installationsanleitung um den Fehler zu beheben und eine Script um den eigenen Server zu testen.


Gruß
Frank
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 564739

Url: https://administrator.de/contentid/564739

Ausgedruckt am: 27.11.2024 um 23:11 Uhr

2 Kommentare
Neuester Kommentar
Goto Top
Dani
Dani 13.04.2020 um 15:03:34 Uhr
Goto Top
Moin frank,
trifft wohl aber auf Instanzen zu, welche mit Hilfe von Docker erzeugt wurden?!


Gruß,
Dani
Frank
Frank 13.04.2020 aktualisiert um 15:57:22 Uhr
Goto Top
Hatte ich auf anderen Seiten auch gelesen, in der CHANGELOG im Projekt steht aber:

Important security note: Previous releases included default passwords for system accounts, and users who didn't change them are at risk of getting the authentication system circumvented by an attacker using a system account with the default password. Please update and use the provided script (instructions on the README) to generate a strong password for each system account.

Grob übersetzt:
Wichtiger Sicherheitshinweis: Frühere Versionen enthielten Standardpasswörter für Systemkonten. Benutzer, die diese nicht geändert haben, laufen Gefahr, dass das Authentifizierungssystem von einem Angreifer unter Verwendung eines Systemkontos mit dem Standardpasswort umgangen wird. Bitte aktualisieren Sie das mitgelieferte Skript (Anweisungen auf dem README) und verwenden Sie es, um ein sicheres Passwort für jedes Systemkonto zu generieren.

Das liest sich jetzt nicht so, als würde es nur Docker betreffen. Es gab gestern auch ein Update für Jitsi Meet per APT unter Ubuntu. Kann also sein, dass es nur Docker betrifft, aber 100% bin ich mir da nicht sicher.

Ich habe es oben aber angepasst und das mit Docker dazu geschrieben.

Gruß
Frank
InformationInternetInstant Messaging
Mehr von FrankFrankWie kann ich die Schriftgröße in GNOME global ändern?FrankFrankIntel hat es wieder verbockt: Core Ultra 200SFrank - 15 KommentareFrankWebserver-Tuning: WebP-Bilder direkt im Browser anzeigen lassenFrank - 3 KommentareFrankSchnelle Stringvergleichsfunktion für PHPFrank - 6 Kommentare
Heiß diskutiert
MasterOfInternetZu geringe Datenrate USB 3.0-HDDs an FRITZ!Box 6850 5GMasterOfInternet - 49 KommentareRalBloHausverkabelung Teil 2RalBlo - 23 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 22 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 20 KommentareYan2021Wordmeldung - Von Word wurde nicht lesbarer Inhalt gefundenYan2021 - 20 KommentareStefanKittelWarum machen Leute eigentlich einen Job von dem sie keine Ahnung haben?StefanKittel - 17 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 16 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 15 KommentareCoreknabePCIe x8 problemlos in x16?Coreknabe - 15 KommentarekgbornDeye deaktiviert Wechselrichter per Internet (USA, UK, Pakistan .)kgborn - 15 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 14 Kommentarefoto2004GPOs werden aus OU nur teilweise gezogenfoto2004 - 14 Kommentare