Jeg har pÄ nuvÊrende tidspunkt ingen grund til at tro at Feddit.dk er pÄvirket, men det er muligt at indhold fra andre instanser er pÄvirket. Det havde blandt andet noget at gÞre med custom emojier, hvilket Feddit.dk endnu ikke bruger.
Jeg har pga. generel forsigtighed roteret den hemmelige nĂžgle Feddit.dk bruger. Det betyder at i bliver logget ud og skal logge ind igen. Muligvis skal i ogsĂ„ slette alle cookies fra Feddit.dk i jeres browser. I Firefox (bĂ„de desktop og Android) skal i klikke pĂ„ hĂŠngelĂ„s-ikonet og sĂ„ trykke âClear cookies and site dataâ.
VÊr ikke overrasket hvis Feddit.dk gÄr ned i noget tid i lÞbet af dagen, hvis jeg skal opdatere til en nyere version der forhindrer denne sikkerhedsfejl.
Tak til @leds for at gÞre mig opmÊrksom pÄ situationen.
SÄ vidt jeg forstÄr har det noget med custom emojier at gÞre, fordi de bruger en specialiseret markdown-rendering, som desvÊrre har denne sikkerhedsbrist. Normalt markdown rendering skulle vÊre okay.
Removed by mod
Ja, men det er sÄ vidt jeg forstÄr kun custom emojis der bruger den markdown-renderer og det er kun hvis det er lokale custom emojis - custom emojis fra andre instanser skulle ikke vÊre et problem, sÄ vidt jeg kan se.
Beklager, men jeg sletter altsÄ lige din kommentar da jeg ikke vil have instruktioner eller linket til den side stÄende.
Ingen fara, jag postade bilden eftersom skriptet Àr dolt (det visas bara de första fÄ tecken men jag kan förstÄ hur andra skulle kunna klura ut tricket hÀr dÄ det finns andra bilder med hela skriptet inuti). Det Àr samma Markdown-renderen med stöd för custom emojier som anvÀnds i alla textfÀlt pÄ Lemmy. Alla fÀlt som visar text pÄ 0.18-instanser och senare Àr sÄrbara för attacken om det inte införs en Content Security Policy som blockerar körbara skript.
Jo, men igen, den bruges aldrig pÄ Feddit.dk siden vi ikke har nogen custom emojis endnu :). SÄ den sÄrbare kode rÞres aldrig. Det er hvad jeg selv forstÄr og hvad andre admins jeg snakker med har fortalt mig.
Utvecklaren sjÀlv tvivlar pÄ att det ska vara endast emojis. SkÀrmavbilden nedan visar att det inte Àr en emoji utan en inbÀddad bild.
Och finns det nÄgot hemligt nÀtverk av Lemmy-admins? PÄ Matrix?
Ja matrix og nej det er ikke hemmeligt pÄ nogen mÄde https://join-lemmy.org/contact
NÄgon testade det och du har rÀtt, exploiten nyttjar custom emojis för att köra skriptet men det Àr oklart om emojin mÄste vara instansens egen för att skriptet ska fungera.
Det som fÄr mig att tro att federerade instanser ocksÄ Àr sÄrbara Àr att lemmy.blahaj.zone ocksÄ blev attackerad trots att hackarens mÄl Àr lemmy.world. Det kan vara att en lemmy.blahaj.zone admin lÀste en trÄd pÄ lemmy.world och fick sitt konto stulet.
Nogen der kender til et bug bounty program pÄ Lemmy?
Ikke noget jeg kender til. SpÞrgsmÄlet er vel ogsÄ om den skulle betales af udviklerne eller enkelte instanser. Men mÄske udviklerne giver bedst mening. Men altsÄ. Det er jo ikke for-profit. Hvis man finder en fejl synes jeg da bare man bÞr rette den.
helt enig, men de har et budget, hvor det kunne give mening. DesvÊrre er det jo sÄdan at ikke alle er lige godhjertede, og talentet nogle gange findes hos det modsatte team. Ville helt klart mene det ville lÊgge hos udviklerne, med mindre sikkerhedsfejlen er instans-specifik