Jeg har på nuværende tidspunkt ingen grund til at tro at Feddit.dk er påvirket, men det er muligt at indhold fra andre instanser er påvirket. Det havde blandt andet noget at gøre med custom emojier, hvilket Feddit.dk endnu ikke bruger.

Jeg har pga. generel forsigtighed roteret den hemmelige nøgle Feddit.dk bruger. Det betyder at i bliver logget ud og skal logge ind igen. Muligvis skal i også slette alle cookies fra Feddit.dk i jeres browser. I Firefox (både desktop og Android) skal i klikke på hængelås-ikonet og så trykke “Clear cookies and site data”.

Se evt. mere information her.

Vær ikke overrasket hvis Feddit.dk går ned i noget tid i løbet af dagen, hvis jeg skal opdatere til en nyere version der forhindrer denne sikkerhedsfejl.

Tak til @leds for at gøre mig opmærksom på situationen.

  • SorteKaninOPMA
    link
    fedilink
    dansk
    arrow-up
    2
    ·
    1 year ago

    Så vidt jeg forstår har det noget med custom emojier at gøre, fordi de bruger en specialiseret markdown-rendering, som desværre har denne sikkerhedsbrist. Normalt markdown rendering skulle være okay.

      • SorteKaninOPMA
        link
        fedilink
        dansk
        arrow-up
        2
        ·
        1 year ago

        Ja, men det er så vidt jeg forstår kun custom emojis der bruger den markdown-renderer og det er kun hvis det er lokale custom emojis - custom emojis fra andre instanser skulle ikke være et problem, så vidt jeg kan se.

        Beklager, men jeg sletter altså lige din kommentar da jeg ikke vil have instruktioner eller linket til den side stående.

        • Andreas
          link
          fedilink
          dansk
          arrow-up
          1
          ·
          1 year ago

          Ingen fara, jag postade bilden eftersom skriptet är dolt (det visas bara de första få tecken men jag kan förstå hur andra skulle kunna klura ut tricket här då det finns andra bilder med hela skriptet inuti). Det är samma Markdown-renderen med stöd för custom emojier som används i alla textfält på Lemmy. Alla fält som visar text på 0.18-instanser och senare är sårbara för attacken om det inte införs en Content Security Policy som blockerar körbara skript.

    • Kresten
      link
      fedilink
      dansk
      arrow-up
      1
      arrow-down
      1
      ·
      1 year ago

      Nogen der kender til et bug bounty program på Lemmy?

      • SorteKaninOPMA
        link
        fedilink
        dansk
        arrow-up
        3
        ·
        edit-2
        1 year ago

        Ikke noget jeg kender til. Spørgsmålet er vel også om den skulle betales af udviklerne eller enkelte instanser. Men måske udviklerne giver bedst mening. Men altså. Det er jo ikke for-profit. Hvis man finder en fejl synes jeg da bare man bør rette den.

        • Kresten
          link
          fedilink
          dansk
          arrow-up
          1
          ·
          1 year ago

          helt enig, men de har et budget, hvor det kunne give mening. Desværre er det jo sådan at ikke alle er lige godhjertede, og talentet nogle gange findes hos det modsatte team. Ville helt klart mene det ville lægge hos udviklerne, med mindre sikkerhedsfejlen er instans-specifik