Feddit.dk

947 readers

27 users here now

Et meta-forum for nyheder, meddelelser og debatter omkring Feddit.dk i sig selv.

Man er også velkommen til at poste her hvis der ikke er nogen andre fællesskaber der passer.

founded 2 years ago

MODERATORS

[email protected]

OBS: Visse Lemmy-instanser blev hacket i nat (feddit.dk)

submitted 1 year ago* (last edited 1 year ago) by [email protected] to c/[email protected]

28 comments fedilink hide all child comments

Jeg har på nuværende tidspunkt ingen grund til at tro at Feddit.dk er påvirket, men det er muligt at indhold fra andre instanser er påvirket. Det havde blandt andet noget at gøre med custom emojier, hvilket Feddit.dk endnu ikke bruger.

Jeg har pga. generel forsigtighed roteret den hemmelige nøgle Feddit.dk bruger. Det betyder at i bliver logget ud og skal logge ind igen. Muligvis skal i også slette alle cookies fra Feddit.dk i jeres browser. I Firefox (både desktop og Android) skal i klikke på hængelås-ikonet og så trykke "Clear cookies and site data".

Se evt. mere information her.

Vær ikke overrasket hvis Feddit.dk går ned i noget tid i løbet af dagen, hvis jeg skal opdatere til en nyere version der forhindrer denne sikkerhedsfejl.

Tak til @leds for at gøre mig opmærksom på situationen.

you are viewing a single comment's thread
view the rest of the comments

[–] [email protected] 1 points 1 year ago (1 children)

Ingen fara, jag postade bilden eftersom skriptet är dolt (det visas bara de första få tecken men jag kan förstå hur andra skulle kunna klura ut tricket här då det finns andra bilder med hela skriptet inuti). Det är samma Markdown-renderen med stöd för custom emojier som används i alla textfält på Lemmy. Alla fält som visar text på 0.18-instanser och senare är sårbara för attacken om det inte införs en Content Security Policy som blockerar körbara skript.

[–] [email protected] 2 points 1 year ago (1 children)

Det är samma Markdown-renderen med stöd för custom emojier som används i alla textfält på Lemmy.

Jo, men igen, den bruges aldrig på Feddit.dk siden vi ikke har nogen custom emojis endnu :). Så den sårbare kode røres aldrig. Det er hvad jeg selv forstår og hvad andre admins jeg snakker med har fortalt mig.

[–] [email protected] 1 points 1 year ago (1 children)

Utvecklaren själv tvivlar på att det ska vara endast emojis. Skärmavbilden nedan visar att det inte är en emoji utan en inbäddad bild.

Och finns det något hemligt nätverk av Lemmy-admins? På Matrix?

[–] [email protected] 3 points 1 year ago (1 children)

Ja matrix og nej det er ikke hemmeligt på nogen måde https://join-lemmy.org/contact

[–] [email protected] 1 points 1 year ago

Någon testade det och du har rätt, exploiten nyttjar custom emojis för att köra skriptet men det är oklart om emojin måste vara instansens egen för att skriptet ska fungera.

Det som får mig att tro att federerade instanser också är sårbara är att lemmy.blahaj.zone också blev attackerad trots att hackarens mål är lemmy.world. Det kan vara att en lemmy.blahaj.zone admin läste en tråd på lemmy.world och fick sitt konto stulet.