Une faille FFmpeg expose Jellyfin mais aussi Nextcloud, Emby, Immich et PhotoPrism ...

EVO · Mercredi à 08:35

Hello,

Pour ceux qui n'ont pas vu cette actu à ce sujet :
PixelSmash : une faille FFmpeg expose Jellyfin au RCE

MilesTEG · Jeudi à 09:41

EVO a dit:
Hello,

Pour ceux qui n'ont pas vu cette actu à ce sujet :
PixelSmash : une faille FFmpeg expose Jellyfin au RCE

Comment mets tu à jour vers la version 8 du jellyfin-ffmpeg8 ? Car si je supprime la 7 jellyfin est une dépendance enfin c’est le contraire… mais je ne vois pas comment faire…

EVO · Jeudi à 09:47

C'est intégrer au conteneur docker et dépend donc de l'image que tu utilise

MilesTEG · Jeudi à 15:19

EVO a dit:
C'est intégrer au conteneur docker et dépend donc de l'image que tu utilise

Je n'ai pas installé via docker XD
Mais en baremetal...

EVO · Jeudi à 15:20

MilesTEG a dit:
Je n'ai pas installé via docker XD

Impossible pour moi de le savoir

Alors je ne sais pas

cooper · Hier à 16:16

MilesTEG a dit:
Je n'ai pas installé via docker XD
Mais en baremetal...

Mise à jour directement depuis le gestionnaire de paquetage du système ?

Désolé pour le simplisme de ma question ; sur *BSD (FreeBSD dans le cas présent), mise à jour depuis pkg(8) ou le port multimedia/ffmpeg (si des options spécifiques sont utilisées) et jellyfin l'utilise joyeusement sans broncher.

marcus54 · Hier à 20:10

Hello, je viens de tester ma version, j'ai la version 7.1.4. Il n'y a pas de mise à jour proposé actuellement pour jellyfin sur Portainer BE
Il faut à surveiller, l'apparition d'une mise à jour...

J'ai utilisé l'IA pour connaître la commande pour connaitre la version, je vous la partage. Il y aura peut-être adapté un petit peu la syntaxe en fonction de votre config

Code:

sudo docker run --rm --entrypoint /usr/lib/jellyfin-ffmpeg/ffmpeg jellyfin/jellyfin:latest -decoders 2>/dev/null | grep -i magic

ffmpeg version 7.1.4-Jellyfin Copyright (c) 2000-2026 the FFmpeg developers
built with gcc 14 (Debian 14.2.0-19)

MilesTEG · aujourd'hui à 16:04

cooper a dit:
Mise à jour directement depuis le gestionnaire de paquetage du système ?

Désolé pour le simplisme de ma question ; sur *BSD (FreeBSD dans le cas présent), mise à jour depuis pkg(8) ou le port multimedia/ffmpeg (si des options spécifiques sont utilisées) et jellyfin l'utilise joyeusement sans broncher.

Oui, mais est-ce que la version installée est la version corrigée ?
Dans mon LXC, j'ai cette version : 7.1.4-Jellyfin

cooper · aujourd'hui à 18:09

MilesTEG a dit:
Oui, mais est-ce que la version installée est la version corrigée ?
Dans mon LXC, j'ai cette version : 7.1.4-Jellyfin

La CVE-2026-8461 (PixelSmash) exploite le codec lossless MagicYUV (fourni par libavcodec), comme l'indique le lien fourni par @EVO et détaillé par l'équipe ayant découvert cette faille.

Ce codec est conçu pour les flux de travail de montage vidéo haute performance. MagicYUV bien que moins connu que le H.264 ou le VP9, est intégré à chaque version par défaut de FFmpeg et compatible avec les conteneurs AVI, MKV et MOV. Toute application capable d'ouvrir un fichier vidéo peut déclencher le décodeur MagicYUV.

La version 8.1.2 comporte le correctif nécessaire.

Rechercher

Rechercher

Une faille FFmpeg expose Jellyfin mais aussi Nextcloud, Emby, Immich et PhotoPrism ...

EVO

Administrateur

MilesTEG

Administrateur

EVO

Administrateur

MilesTEG

Administrateur

EVO

Administrateur

cooper

Chevalier Jedi

marcus54

Chevalier Jedi

MilesTEG

Administrateur

cooper

Chevalier Jedi