Plex Media Server: Mehr als 300.000 Stück von kritischer Sicherheitslücke betroffen


Kommentare zu folgendem Beitrag: Plex Media Server: Mehr als 300.000 Stück von kritischer Sicherheitslücke betroffen

Obwohl man schon vor 23 Tagen einen Bugfix veröffentlicht hat, haben die wenigsten Betreiber die Software ihrer Plex Media Server upgedated.

1 „Gefällt mir“

Ich muss zugeben, obwohl ich all meine Server so eingestellt habe, dass die täglich apt update und apt upgrade, ist das Update nicht aufgespielt worden…

Wüsste gerne wieso… ich glaub, ich müsste mein Skript mit ein Log erweitern weil sonst, wenn ich irgendwann mal manuell nachgeschaut habe, dann war immer alles up-to-date bis auf was frisch am selben Tag heraus kam… :confused:

/var/log/apt/history.log

oder

/var/log/apt/term.log

da werden Sie geholfen.

Zum Artikel: wieso sollte man, wenn man schon ein Update nicht einspielt, die Software wechseln :slight_smile: ? Es wird doch mit einer anderen Software in Sachen Sicherheitslücken nicht besser.

1 „Gefällt mir“

Jemand schrieb in unserer öffentlichen Telegram-Gruppe:

Gerade seitdem Plex jetzt das Remote Play kostenpflichtig gemacht hat, ist Plex zumindest für mich uninteressant geworden. Auch wenn das per VPN umgehbar ist.

Schon als Plex angefangen hat Hetzner IPs auszusperren, habe ich schon gemerkt, dass sich Plex langsam in eine Richtung entwickelt, die mir überhaupt nicht passt.

Der Umstieg auf Jellyfin ging recht fix, und wenn man das möchte, kann man sich auch eine Oberfläche bauen, die aussieht wie Plex. Zusätzlich ist Jellyfin Open Source und benötigt keine relay server zum abspielen der Urlaubsvideos.

Aussperren von IPs wird auch mit anderen Diensten wieder passieren, ganz egal ob OSS oder nicht. Kostenpflichtig ist da dann wohl das treffendere Argument.
Generell könnte ich mir auf Dauer vorstellen, dass unabhängig von einer verwendeten Server Software, Rechenzentren wie Hetzner direkt verpflichtet werden, Quellen von Urlaubsvideos zu sperren. Alles nur eine Frage der Zeit. Technisch sieht man solche Quellen ja noch leichter wie z.B. Torrent Verbindungen, die ja auch nicht sonderlich gern in Rechenzentren gesehen werden.
Oder es wird direkt freiwillig blockiert, um Abuse Meldungen oder anderen Problemen aus dem Weg zu gehen.
Vielleicht für den Moment noch etwas zu schwarz gemalt, aber es ist schlicht und simple gesagt aktuell viel zu einfach um ohne irgendwelche Kenntnisse an Urlaubsvideos zu kommen. Ähnlich dem ganzen Filehoster Kram, den es gibt oder in Zeiten von Rapidshare gab.

Um mit JellyFin einen „*arr-Stack“ aufzubauen, nutzt man doch auch beides. Also JF plus p2p, was eigentlich überall noch möglich ist.

Kann nicht sagen wie es unter Linux ist, aber bei meinem NAS ließ sich das Update nur manuell installieren. Per Updater war gar kein Update verfügbar, was ich von Plex schon ein bisschen schwach finde.

Dear Plex User,
We have recently experienced a security incident that may potentially involve your Plex account information. We believe the actual impact of this incident is limited; however, action is required from you to ensure your account remains secure.
What happened
An unauthorized third party accessed a limited subset of customer data from one of our databases. While we quickly contained the incident, information that was accessed included emails, usernames, and securely hashed passwords.

Zuerst dachte ich, das wäre eine Fake Email, aber scheint echt zu sein. Die kriegen es ja gerade auch gut ab.

Hilfsmittel Nr. 1 nutze bei Plex 2FA. Bis jetzt gut damit gefahren

Ja, in jedem Fall.

Aber jetzt scheint Plex nach den Security Issues auch noch einen Database Breach zu haben.
Wenn ich das richtig verstehe, war das mehr oder minder eine Vorsichtsmaßnahme.

Dennoch schließen solche Nachrichten ja automatisch ein, dass jemand Zugriff auf die Datenbank hatte.
Da hilft auch kein 2FA, die Daten sind dann trotzdem gelesen (nicht wegen Login Missbrauch, aber vermutlich Email und weitere Daten die keinen externen etwas angehen).

Stimme ich dir voll und ganz zu. Ist Mal wieder nervig. Aber es ist wie es ist. Sollte nicht passieren, aber heutzutage ist nichts davor sicher. Das es Plex wieder trifft hat einen Faden Beigeschmack

1 „Gefällt mir“

Es wird Zeit für alternativen. Falls es keine richtigen alternativen gibt, da sollten sich einige Entwickler zusammen tun, und so ein Programm, Programmieren. Es braucht Konkurrenz.