frank
Goto Top

Konfigurationsfehler in der Jitsi Meet Docker Version sorgt für Sicherheitslücke

In Jitsi Meet gibt es einen Konfigurationsfehler zwischen der BOSH-Schnittstelle und mit dem mitgelieferten XMPP-Server Prosody. Die Entwickler haben dort das Standardpasswort "passw0rd" eingerichtet. Auf diesen Accounts kann man von außen zugreifen. Der Fehler betrifft wohl nur die Docker Variante von Jitsi Meet.

https://github.com/jitsi/docker-jitsi-meet/blob/master/CHANGELOG.md

Es gibt mittlerweile angepasste Installationsanleitung um den Fehler zu beheben und eine Script um den eigenen Server zu testen.


Gruß
Frank

Content-Key: 564739

Url: https://administrator.de/contentid/564739

Printed on: February 24, 2024 at 02:02 o'clock

Member: Dani
Dani Apr 13, 2020 at 13:03:34 (UTC)
Goto Top
Moin frank,
trifft wohl aber auf Instanzen zu, welche mit Hilfe von Docker erzeugt wurden?!


Gruß,
Dani
Member: Frank
Frank Apr 13, 2020 updated at 13:57:22 (UTC)
Goto Top
Hatte ich auf anderen Seiten auch gelesen, in der CHANGELOG im Projekt steht aber:

Important security note: Previous releases included default passwords for system accounts, and users who didn't change them are at risk of getting the authentication system circumvented by an attacker using a system account with the default password. Please update and use the provided script (instructions on the README) to generate a strong password for each system account.

Grob übersetzt:
Wichtiger Sicherheitshinweis: Frühere Versionen enthielten Standardpasswörter für Systemkonten. Benutzer, die diese nicht geändert haben, laufen Gefahr, dass das Authentifizierungssystem von einem Angreifer unter Verwendung eines Systemkontos mit dem Standardpasswort umgangen wird. Bitte aktualisieren Sie das mitgelieferte Skript (Anweisungen auf dem README) und verwenden Sie es, um ein sicheres Passwort für jedes Systemkonto zu generieren.

Das liest sich jetzt nicht so, als würde es nur Docker betreffen. Es gab gestern auch ein Update für Jitsi Meet per APT unter Ubuntu. Kann also sein, dass es nur Docker betrifft, aber 100% bin ich mir da nicht sicher.

Ich habe es oben aber angepasst und das mit Docker dazu geschrieben.

Gruß
Frank