Eine schwerwiegende Sicherheitslücke, bekannt als CVE-2025-34158, wurde vor mehreren Wochen bei den Plex Media Servern entdeckt. Diese Schwachstelle trifft Software-Versionen von 1․41․7.x bis 1․42․0.x. Ein Sicherheitsupdate mit der Version 1․42․1 wurde schon vor über drei Wochen von Plex Inc. angekündigt.
Gefährdete Server weltweit
Trotz des hohen CVSS-Scores—der den extremen Bedrohungsgrad unterstreicht—haben nur etwa 25 Prozentsatz der Betreiber ihre Software aktualisiert. Präsent ist folglich ein alarmierendes Szenario. Cyberkriminelle können auf über 300․000 Plex-Servern ohne gültige Zugangsdaten Daten manipulieren, löschen oder sogar den gesamten Server lahmlegen. Das besondere an der Plex-Software ist ihre weltweite Beliebtheit—sie wird über 35 Millionen Mal genutzt. Die anhaltenden Sicherheitsprobleme erscheinen aus diesem Anlass speziell besorgniserregend.
Geschichte der Sicherheitsrisiken
Die Sicherheitslücke beschränkt sich nicht nur auf den jeweiligen Server. In der Vergangenheit—spezifisch vor drei Jahren—nutzten Unbekannte eine bereits behobene Schwachstelle um Malware auf dem PC eines Mitarbeiters von LastPass zu installieren. Dieser Vorfall führte zu einem massiven Datendiebstahl bei LastPass im August 2022. Eine der Ursachen war das Versäumnis des Administrators drei Jahre lang Updates einzuspielen. Hacker hatten dadurch leichtes Spiel.
Erinnerungen an Updates
Die technischen Details des aktuellen Problems sind bislang geheim. Da jedoch immer noch viele Server ungeschützt sind, wird ein Proof-of-Concept nicht lange auf sich warten lassen. Das könnte zu einer Welle von Nachahmern führen die gleichermaßen nach hackbaren Medien-Servern suchen. Vor wenigen Tagen hat Plex die Administratoren per Email erinnert, das Update einzuspielen. Wie wirksam diese Erinnerungen sind – bleibt jedoch fraglich.
Empfehlungen von Sicherheitsexperten
Sicherheitsexperten empfehlen, lokale Plex Media Server vollständig vom Internet zu trennen. Nur so kann ausgeschlossen werden – dass Dritte darauf zugreifen.
Alternative Software-Lösungen
Eine mögliche Lösung wäre ein Wechsel zu anderer Server-Software. Jellyfin ist eine vollständige Open-Source-Option. Nutzer könnten die Software kostenlos installieren—es ist kein Abo nötig. Jellyfin verfolgt ebenfalls einen laxen Umgang mit kopierten Medien. Diese Software bietet Zugang zu zahlreichen Community-Plugins und individuellen Skins, ohne finanzielle Verpflichtungen. Während die Umstellung für den Administrator Aufwand mit sich bringt, dürfte sich die Akzeptanz unter den Nutzern schnell einstellen. Der Umstieg von Plex auf Jellyfin ist unproblematisch.
Erörterung im Forum
Viele Leser und Leserinnen nutzen einen eigenen Plex Media Server. Die Frage bleibt: Wurde die Software aktualisiert oder wurde das Update hinausgezögert? Hat jemand Alternativen wie Emby, Jellyfin, Kodi oder den Universal Media Server in Betracht gezogen? War jemand von einem Hack betroffen? Kommentare und Erfahrungen dazu sind herzlich willkommen.
Kommentare