2
Konfigurationsfehler in der Jitsi Meet Docker Version sorgt für Sicherheitslücke
In Jitsi Meet gibt es einen Konfigurationsfehler zwischen der BOSH-Schnittstelle und mit dem mitgelieferten XMPP-Server Prosody. Die Entwickler haben dort das Standardpasswort "passw0rd" eingerichtet. Auf diesen Accounts kann man von außen zugreifen. Der Fehler betrifft wohl nur die Docker Variante von Jitsi Meet.
https://github.com/jitsi/docker-jitsi-meet/blob/master/CHANGELOG.md
Es gibt mittlerweile angepasste Installationsanleitung um den Fehler zu beheben und eine Script um den eigenen Server zu testen.
Gruß
Frank
https://github.com/jitsi/docker-jitsi-meet/blob/master/CHANGELOG.md
Es gibt mittlerweile angepasste Installationsanleitung um den Fehler zu beheben und eine Script um den eigenen Server zu testen.
- Jitsi Meet Docker Installation
- jitsivuln - Quick and dirty Python script to scan for Jitsi Meet instances with default XMPP accounts with the password "passw0rd"
Gruß
Frank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 564739
Url: https://administrator.de/knowledge/konfigurationsfehler-in-der-jitsi-meet-docker-version-sorgt-fuer-sicherheitsluecke-564739.html
Ausgedruckt am: 05.02.2025 um 17:02 Uhr
2 Kommentare
Neuester Kommentar
Moin frank,
trifft wohl aber auf Instanzen zu, welche mit Hilfe von Docker erzeugt wurden?!
Gruß,
Dani
trifft wohl aber auf Instanzen zu, welche mit Hilfe von Docker erzeugt wurden?!
Gruß,
Dani
Hatte ich auf anderen Seiten auch gelesen, in der CHANGELOG im Projekt steht aber:
Grob übersetzt:
Das liest sich jetzt nicht so, als würde es nur Docker betreffen. Es gab gestern auch ein Update für Jitsi Meet per APT unter Ubuntu. Kann also sein, dass es nur Docker betrifft, aber 100% bin ich mir da nicht sicher.
Ich habe es oben aber angepasst und das mit Docker dazu geschrieben.
Gruß
Frank
Important security note: Previous releases included default passwords for system accounts, and users who didn't change them are at risk of getting the authentication system circumvented by an attacker using a system account with the default password. Please update and use the provided script (instructions on the README) to generate a strong password for each system account.
Grob übersetzt:
Wichtiger Sicherheitshinweis: Frühere Versionen enthielten Standardpasswörter für Systemkonten. Benutzer, die diese nicht geändert haben, laufen Gefahr, dass das Authentifizierungssystem von einem Angreifer unter Verwendung eines Systemkontos mit dem Standardpasswort umgangen wird. Bitte aktualisieren Sie das mitgelieferte Skript (Anweisungen auf dem README) und verwenden Sie es, um ein sicheres Passwort für jedes Systemkonto zu generieren.
Das liest sich jetzt nicht so, als würde es nur Docker betreffen. Es gab gestern auch ein Update für Jitsi Meet per APT unter Ubuntu. Kann also sein, dass es nur Docker betrifft, aber 100% bin ich mir da nicht sicher.
Ich habe es oben aber angepasst und das mit Docker dazu geschrieben.
Gruß
Frank
