Huntarr

[Titux]

Bonsoir,

Je ne savais pas où mettre l'information, désolé si elle n'est pas dans la bonne section.

Pour les utilisateurs de Huntarr, je vous conseille d'arrêter tout de suite.

Voici le pourquoi du comment :

https://www.reddit.com/r/selfhosted/comments/1rckopd/huntarr_your_passwords_and_your_entire_arr_stacks

Si je résume, un pentest a été fait par un utilisateur. Cela a révélé plus d'une vingtaine de faille critique. Le développeur à couper le projet et tout enlever de GutHub.

Perso, je ne suis pas utilisateur.

Avec l'IA de nos jours, il va falloir être prudent dans les nouveaux projets.

 

[EVO]

Oui j'ai vu passé cela. Beaucoup de problème de secu comme des clé API exposés ,...

 

[QoolBox]

Le QPKG a été enlevé hier du repo Appcenter www.myqnap.org également suite à ça et les utilisateurs Qnap avertis sur le channel Discord.

 

[Nincha]

Pareil suis tombé là dessus et je l'ai viré de la stack... Par sécurité j'ai reset les api keys, et j'ai dû aller jusqu'à supprimer tous les indexeurs hérités de prowlarr dans sonarr et radarr pour relancer une synchro des indexeurs et avoir à nouveau des services qui tournent normalement...

Bref, le dev n'a pas assumé du tout, à changer de username sur GitHub plusieurs fois en l'espace de quelques heures pour tenter de noyer le poisson, a ban les utilisateurs qui pointaient les soucis de secu... Bref pas le genre de personne de qui on a envie d'utiliser le soft...

Normalement, ceux qui n'exposaient pas directement l'instance huntarr sur le net ont peu de risques de fuite, mais comme on dit, mieux vaut prévenir que guérir.

Enfin, une alternative mise en avant semble être "declutatarr", je vais me pencher dessus et si ça en intéresse certains, je pourrai faire un retex.

Merci @Titux d'avoir posté ça ici, m'étais dit que je le ferai puis j'ai zappé...

@EVO, penses tu que ce sujet serait plus approprié dans la section sécurité ?