Debian GNU/Linux スレッド Ver.99

[過去ﾛｸﾞ] Debian GNU/Linux スレッド Ver.99 (1002ﾚｽ)
上下前次 1-新

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

554: 553 2024/04/01(月)07:46 ID:LrIfXq0M(2/2) AAS
外部ﾘﾝｸ:piyolog.hatenadiary.jp

これみると、つぎのものが駄目ということか

Debian 2024年2月1日に公開された検証(unstable)バージョン（5.5.1alpha-0.1以降5.6.1-1を含む）

通常バージョンの最新版ならok?

555: 2024/04/01(月)11:51 ID:6wvj9EuC(1) AAS
大した理由もなくDebianでTestingやSidを使う意味が全くわからない
余程のワケでもない限りstableでいいんよ
クリティカルなセキュリティリスクでもない限りはOSもソフトもアプデしないほうがいい
常に何でも最新にしたがる人は定期的に何かしらの不具合に悩まされて時間を無駄にするからな
壊れていないのなら直す必要はないって格言を忘れずにいたいものだな

556: 2024/04/01(月)12:14 ID:Ba0yTuNd(1) AAS
>余程のワケでもない限りstableでいい
ということを十分理解した上で、なお使いたい人が一定数いる
俺は使わないけど

557: 2024/04/01(月)12:16 ID:cMc4uzBT(1) AAS
外部ﾘﾝｸ:gigazine.net

XZ Utilsの悪意のあるバージョンはLinuxの製品版に追加される前に発見されたため、「現実世界のだれにも実際には影響を与えていない」とセキュリティ企業Analygenceの上級脆弱性アナリストのエイル・ドーマン氏は指摘しています。

ただし、ドーマン氏によると「しかし、それは単に攻撃者の不手際により早期発見されただけなので、もしもこれが発見されていなければ世界は大参事に陥っていたことでしょう」とのことです。

バックドアにはXZ Utilsの開発者が関与している可能性を指摘していました。

XZ Utilsのメンターとして開発プロジェクトに積極的に参加することで周囲の信頼を獲得していき、最終的にGitHubリポジトリでコードを直接コミットする権利を獲得したようです。
省1

558: 2024/04/01(月)12:36 ID:qq6AJ/aG(1) AAS
氷山の一角じゃねーかなー
他にもこの手のやつは入り込んでるとみた方がよさげ

559: 2024/04/01(月)12:47 ID:C9jMVUKl(1) AAS
昔の話だが、インターネットに接続してない所までどうやってハッキングするんだろうね。
外部ﾘﾝｸ:business.nikkei.com

今回のは手口が分かったけど、凡人には想像出来ない方法で色々やってそう。

560: 2024/04/01(月)12:49 ID:Bw34sJi0(1) AAS
まあレビューとかはあっても大半のプロジェクトが人手不足でどこも割とガバガバだからしゃーないな

今回の犯人のコミットとかももsafe_fprintf()を何故かただのfprintf()に書き換えてんのにスルーでそのまんま通ってたり
ワイも参加しはじめの頃わざとじゃないけどバグ修正でめっちゃ基本的な脆弱性含んだ変更したパッチ送っちゃったけど何も言われず即マージされちゃったりとか経験あるし

561: 2024/04/01(月)13:24 ID:/6zqy0mA(1) AAS
>>538

> liblzma5: Installed: 5.6.1+really5.4.5-1

これってダウングレードしなくてもアップデートがかかるように
パッケージバージョン番号5.6.1に偽装した中身5.4.5じゃないのかな？
うちのtrixieはdpkg -l liblzma*で見るとそれがインストールされているけどdpkg -L liblzma5で見ると

/usr/lib/aarch64-linux-gnu/liblzma.so.5.4.5

になっている。3/28にアップデートがかかったみたい。
うちの場合はArm環境なので慌てなくても良さそうなんだけど。

562: 2024/04/01(月)14:05 ID:Vc51D7RK(1) AAS
Revert back to the 5.4.5-0.2 version
となってるから単に今回の対策版ですね

563: 2024/04/01(月)18:39 ID:WauB/EHx(2/2) AAS
なんだろうけど彼が関わってるversionなので不十分ではないかという議論が出てる

564(1): 2024/04/01(月)23:54 ID:53RUoinl(1) AAS
素人考えだけど、インジェクションだと仕込まれたのチェックするの難しいのかな？
しかし、偶然見つかったから良かったけど、場合によっては阿鼻叫喚の結末だったろうなぁ

565: 2024/04/02(火)00:13 ID:DBFExKBE(1) AAS
こういうのを抑止しようと思ったら刑事罰を課すのが良いのかな?

566: 2024/04/02(火)00:18 ID:xDXzyHQt(1/2) AAS
人の作った仕組みの一部を変えて、って頭いいよね。
気付かれなかったら、何処の国が利用するバックドアだったのだろう。

567(1): 2024/04/02(火)01:25 ID:Bi2pFQRE(1/2) AAS
ソフトにバックドアを仕掛けるのは諜報機関が多いだろな
アメリカイギリスロシア中国のどっかだろ

568: 2024/04/02(火)02:45 ID:nenh0KjO(1/4) AAS
>>564
チェックされてなかった
信用されてたので
3年がかり

569(1): 2024/04/02(火)06:59 ID:DwXVo4cx(1/3) AAS
このタイミングで動いたのはUbuntuのLTSのメジャーアプデ狙ってたんだろうな
WSLにもうまくすればMacにも影響与えることできただろうし

570(1): 2024/04/02(火)12:09 ID:l/iGXjCe(1) AAS
なんか、今回仕込んだメンテナが複数のディストリに5.6採用しろって働きかけてたってどこかで読んだよ

571: 2024/04/02(火)12:19 ID:xDXzyHQt(2/2) AAS
>>570
これじゃないかな
外部ﾘﾝｸ:boehs.org

572(3): 2024/04/02(火)13:01 ID:CZt4BFWK(1) AAS
>>567
コミットログのタイムスタンプの痕跡を見るに
中国(UTC+8)からに見せかけたUTC+2/UTC+3(夏時間)エリアの人間じゃないかという分析が出てるね
該当は東欧(EET)とイスラエル・エジプト

573: 2024/04/02(火)13:40 ID:nenh0KjO(2/4) AAS
>>572
ルーマニアだと諜報というより金だよな

上下前次 1-新書関写板覧索設栞歴

あと 429 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.017s