Debian GNU/Linux スレッド Ver.99

[過去ﾛｸﾞ] Debian GNU/Linux スレッド Ver.99 (1002ﾚｽ)
上下前次 1-新

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

596: 2024/04/03(水)01:02 ID:n5WiJNSJ(1) AAS
>>594
今までもあったけれど広く知れ渡らなかっただけ

597(1): 2024/04/03(水)01:05 ID:RvdgMQHQ(1) AAS
昔からバックドアは作られ続けてたけど、今回は仕込みの時点で一般人にバレたケースってことじゃね？
DARPAからOpenBSDが補助金もらってたり、openssh は時々バックドア見つかったり。
外部ﾘﾝｸ:ascii.jp

598: 2024/04/03(水)01:16 ID:l2JlL4gu(1/3) AAS
ググれば判るけどバックドア作りの名人と言えばCIA
もちろん世界中の諜報機関が当たり前にやってる事なんだろな
俺がその役割の組織に所属してたら当たり前に同じような事をしてると思う
まだバレてないだけで結構な数のバックドア付きのオープンソースコード()製品は多数あるだろ

599(1): 2024/04/03(水)01:24 ID:l2JlL4gu(2/3) AAS
Flatpakも検証付いてないのは絶対に入れないほうがいいよ
有名なソフトでみんな使ってるから誰かが全て中身を確認し精査してるなんて勘違いはしない方がいい
マジな話で

600: 2024/04/03(水)01:29 ID:uZImSE56(1) AAS
>>593
systemd?
>>595
GNU?

601: 2024/04/03(水)01:35 ID:nfs4F2nf(1) AAS
バックドアがほぼ絶対に近いほど無いと言えるシステムってなんかあるのん？

602(2): 2024/04/03(水)01:47 ID:kbSe3lQx(1/2) AAS
systemdがxz(liblzma)に依存していて
一部のディストリではopensshをlibsystemdに依存させるアンオフィシャルな改造が入ってるので
それを利用してliblzmaに埋め込まれた不正なコードがsshdに干渉できるようになっている

603(1): 2024/04/03(水)03:36 ID:0y1UUUyJ(1/2) AAS
ネオナチlinuxの ubuntu （バックドアいっぱい）は基本無傷なんだから
犯人の政治的傾向は明白w

604: 2024/04/03(水)05:19 ID:pdbZTS9Q(1/2) AAS
>>597
全然違う
その記事はopensshが落とされたとは書いてない

>>602
こういう手口でしか攻略できなかった事が、逆にopensshのコードと開発体制の堅牢さの証明になってるな
systemdの危険性は警告されてたんだから、Debianにsystemdを採用した連中はDevuan勢に謝るべき
一番悪いのはRedHatだが

605(1): 2024/04/03(水)08:32 ID:/J5qC0sU(1) AAS
>>603
💩

606: 2024/04/03(水)10:26 ID:rblYF2XA(1/3) AAS
>>602
ロギングで圧縮と暗号化がサポートされてるから
lzmaやgcryptが必要になるんだな

607(1): 2024/04/03(水)11:09 ID:0y1UUUyJ(2/2) AAS
>>605
馬鹿は ubuntu でも使ってろw

608(2): 2024/04/03(水)13:13 ID:kbSe3lQx(2/2) AAS
openssh側にsystemdを直で (libsystemdを使わずソケットベースIPCで) 触るコードが入った模様
外部ﾘﾝｸ:github.com

609: 2024/04/03(水)13:21 ID:rblYF2XA(2/3) AAS
>>608
protocolを直接叩くわけね

610: 2024/04/03(水)14:05 ID:l2JlL4gu(3/3) AAS
>>608
🤔

611: 2024/04/03(水)14:09 ID:pu4h8R+r(1) AAS
>>607
🫏🦌💩

612(2): 2024/04/03(水)16:26 ID:n0SKobfa(1) AAS
外部ﾘﾝｸ:gigazine.net

2024年3月29日に、圧縮ツールの「XZ Utils」に、悪意のあるバックドアが仕込まれていたことが明らかになりました。どのようにバックドアが仕掛けられたのかについて、Googleのエンジニアであるラス・コックスさんが時系列順にまとめました。

613: 2024/04/03(水)16:51 ID:rblYF2XA(3/3) AAS
>>612
Russ Coxさんこんなことしてるのね

614: 2024/04/03(水)17:42 ID:fDKuEtDh(1/3) AAS
>>612
１．メンテナが鬱っぽいOSSプロジェクトを探す
２．善良なコントリビュータのふりをして潜り込む
３．時間をかけて信頼を得る
４．自作自演で複数垢から「あいつのパッチ早く取り込めよ」とメンテナに圧をかける
５．圧をかけられた鬱病メンテナは潜り込んだ人物を共同メンテナに指名
６．満を持してバックドアを仕込む

これ国家に支援された組織がやってるだろ

615: 2024/04/03(水)17:45 ID:fDKuEtDh(2/3) AAS
次からはもっと手口洗練させるだろうし
バックドアももっとバレにくいの入れるだろうし
こんな攻撃ガンガンやられたら世界中のOSSプロジェクト崩壊するわ

616: 2024/04/03(水)17:51 ID:fDKuEtDh(3/3) AAS
めんどくさいけどDebian Developerの選考手続きが正義なのかな
あれでもガチの悪意ある人間は弾けないだろうが

617: 2024/04/03(水)20:01 ID:efaq3P2u(1) AAS
>>506
自己解決した。
過去スレなんか探しても見つからなかった。
やったのは、phpの古いやつを削除して、phpモジュールを一つづつ更新したらでなくなった。

618(2): 2024/04/03(水)22:26 ID:pdbZTS9Q(2/2) AAS
狙われたのはあるプロジェクト単体ではなく、Linux生態系の脆弱性
コンドームもしないでやりまくるフリーセックス野郎が被害を深刻化させてる

619(1): 2024/04/03(水)22:36 ID:rnkjDrK0(1) AAS
結局ubuntu proとか入っとけば安心なの？
落ちてきたもの入れてるだけの自分にはどうしようもないな

620: 2024/04/03(水)23:52 ID:il1mDni5(1) AAS
>>618
実際ホモ多いしやっぱそういうとこなんだろうな

621: 2024/04/04(木)05:57 ID:CrC0JUiJ(1) AAS
>>619
一般利用者の今回の教訓は
開発リリースを使うな
デストリは慎重に選べ
過去にOpenSSLでもあったことで
特段大騒ぎするようなことでもない

622: 2024/04/04(木)06:25 ID:IuaiqHi1(1) AAS
>>618
バックドアを発見できたのもオープンソースの利点
企業内のソフトだと一生気付かれないよ

623: 2024/04/04(木)06:42 ID:uoyiNgtE(1) AAS
"Given enough eyeballs, all bugs are shallow"
-- Eric Steven Raymond

624(1): 2024/04/04(木)09:23 ID:Qs6OTwq6(1) AAS
オープンソースだからこそ仕込めたバックドアを
オープンソースだから発見できたとドヤる
まさにマッチポンプ

625: 2024/04/04(木)09:40 ID:ocES7x14(1) AAS
人間ってやつは欲望ってもんに翻弄される欠陥経済動物なんだからしょうがあるめえ

626(1): 2024/04/04(木)10:00 ID:qwuLzKiL(1) AAS
最近のWindowsにはOpenSSHもtarもcurlもその他諸々入ってるが、それは検証されてるのか？

627: 2024/04/04(木)10:24 ID:r/9XAiMM(1) AAS
板違い

628(1): 2024/04/04(木)10:39 ID:vBRUYOIX(1) AAS
一匹みつかれば100匹はいるみたいに、
このバグは運良く見つかっただけで
他にも凶悪な改悪がいろんな所に潜んでそうな気がする。

629(1): 2024/04/04(木)10:48 ID:ncccR5RA(1/5) AAS
>>626
OpenSSHは直接関係ない
systemdのnd-notify対応で
libsystemdをリンクしたからまずかった
Windowsの場合MS提供の公式OpenSSLを使うから
systemd対応してない
WSL2上のOpenSSL使ってる奇特な人は
選んでるデストリ次第では影響が出る可能性ある

630: 2024/04/04(木)10:49 ID:ncccR5RA(2/5) AAS
>>628
それはこれまでも同じだ
>>624みたいなこと言う人も前からいる
童貞みたいなこと言うのは辞めるんだ

631: 2024/04/04(木)11:05 ID:A4LkZZ83(1) AAS
AIでなんとか検知できんもんなの

632: 2024/04/04(木)11:16 ID:eE4GR57t(1/2) AAS
AIでLinuxカーネルやgccを生成できない
それだけの能力

633(3): 2024/04/04(木)11:52 ID:SFjMKtP8(1/4) AAS
オープンソースと言っても全ての行を読んでる人なんて稀…というかいるのか？ってレベルだから
ましてやアプデの度に全ての行を読むなんて事に膨大な時間を使う奇特な奴はいないからね
そもそもGitHubのソースからビルド出来ない『再現可能ではない』人気アプリが余りにも多すぎて、オープンソースコードってものを誤解しまくってる人が多いなぁって思ってる
98%オープンソースソースだけどちょっとクローズドな部分もあります😆ってのも多すぎるけど、それは俺からしたらクローズドと何も変わらない

634: 2024/04/04(木)12:32 ID:aFAGnHwG(1) AAS
野菜ジュースとかと似てるな

635(1): 2024/04/04(木)14:29 ID:ncccR5RA(3/5) AAS
>>633
最初の二行
そんなこと馬鹿げたこと言ってる人いるんだな

636(1): 2024/04/04(木)15:16 ID:SFjMKtP8(2/4) AAS
>>635
最初はフルオープンソースだけど人気が出て広まり始めたら一部だけをクローズドにするアプリって結構あるぞ
けど大体の人はそういうの気にしてないから誰も何も言わないパターン多い
特にウォレットアプリなんてそのパターンは見飽きるほどに見飽きた

637(1): 2024/04/04(木)17:43 ID:ncccR5RA(4/5) AAS
>>636
>>633の後半についてはさほど異議はない
最後の１行がやや二極論過ぎないかと思うが

638: 2024/04/04(木)18:23 ID:SFjMKtP8(3/4) AAS
ソースに目を通して全てを確認してから自分でビルドして…なんて時間かかりすぎて現実的ではないから俺も妥協しちゃうけどね

639(1): 2024/04/04(木)18:37 ID:SzWQkYld(1) AAS
一部がクローズドってことは特定の環境でしか動かないってことだからなあ

640: 2024/04/04(木)18:55 ID:zXq2GM3A(1) AAS
動く動かないの話ではないのでは

641: 2024/04/04(木)18:56 ID:n4HRmLAB(1) AAS
末端は降りてきたものを入れるだけだからメンテナーさん頑張ってねとしか言いようがない

642(1): 2024/04/04(木)19:03 ID:VRDjESDb(1) AAS
>>637はビルドするときに全リンクライブラリのソースも読んでいるのか？すごいな

643(1): 2024/04/04(木)19:09 ID:ncccR5RA(5/5) AAS
>>642
どうしてそんな主張してると思った?

644: 2024/04/04(木)19:24 ID:84MKj71N(1/2) AAS
>>643
皮肉だよ　どうせ読んでいないよね？というか読めないよね
>>633が書いているように事実上クローズドとたいして変わらないけどな
開発側にやや恩恵があるくらいだよ

645: 2024/04/04(木)19:25 ID:84MKj71N(2/2) AAS
id変わったけど642

646(1): 2024/04/04(木)20:23 ID:SFjMKtP8(4/4) AAS
>>639
動くにはどれも問題なく動くよ
ブラウザとかでもオープンソース歌ってるけど、よく調べたら一部分だけクローズドですってのもあるじゃん
あーいうの卑怯だなっていつも思う
ならオープンソース(一部だけクローズド)ってちゃんと書いとけと言いたいね
というかオープンソース名乗るなと

647: 2024/04/04(木)21:10 ID:eE4GR57t(2/2) AAS
全部でなければその一部にバックドアなりマルウェアなり仕込めるからね

648: 2024/04/04(木)21:16 ID:ADVffSey(1) AAS
>>646
バイナリでしか提供されない部分があるということは
バイナリが提供されるOSやアーキテクチャでしか動かないだろ

649: 2024/04/04(木)23:59 ID:6GuM52ln(1) AAS
>>629
systemdがないことがWindowsのメリットだな

650: 2024/04/05(金)00:47 ID:2nYxKUQU(1) AAS
外部ﾘﾝｸ:cyberplace.social

Windowsに含まれるtar.exeがJirのコミットが含まれるバージョンで話題になってる
あと最近エクスプローラが.tar.xzの解凍をサポートしたのでそっちでもなんかあるかも

651: 2024/04/05(金)02:05 ID:x0ffG5+Z(1) AAS
今はバックドアは塞がれたの

652(1): 2024/04/05(金)08:48 ID:UYt+TgWU(1/2) AAS
いつまで板違いやってんだ、このペクチョン

653: 2024/04/05(金)09:48 ID:/omqW2/M(1) AAS
>>652
糞ジャップだまれ

お前は地獄落ちが決定済み

654: 2024/04/05(金)10:14 ID:UYt+TgWU(2/2) AAS
ペクチョンぶちギレﾜﾛﾀ

655(2): 2024/04/05(金)23:50 ID:RZmLlVQN(1) AAS
例の一件でsidからstableに数年ぶりに戻ったが、どういうわけか余程不安定だ

Thunarが落ちまくって用事にならない

656(1): 2024/04/06(土)00:06 ID:SBjfnFyy(1) AAS
ファイルマネージャー変えればいいじゃん

657: 2024/04/06(土)00:35 ID:PDNeY6RI(1) AAS
>>656
xfceなんだけどおすすめある？

658: 2024/04/06(土)00:44 ID:WNq0VFdD(1/2) AAS
うちのThunarはなんとも無いけどねぇ
Dolphinとか使ってみたら？

659: 2024/04/06(土)00:47 ID:kK5f53Fz(1/3) AAS
DolphinはKDEと連携し過ぎてるから、他のDEで使うならnemoのほうがおすすめ

660: 2024/04/06(土)00:53 ID:WNq0VFdD(2/2) AAS
別に試す気は無いがCinnamonのNemoとMATEのCajaってどう違うんだろ？

661: 2024/04/06(土)01:01 ID:kK5f53Fz(2/3) AAS
あまり違わんけど、CinnamonのxappシリーズはDE依存してないので他のDEから安心して使える

662: 2024/04/06(土)01:06 ID:kK5f53Fz(3/3) AAS
……今apt showしたらlibcinnamon-desktop4に依存してたのでちょっと過言だったかも
でもUbuntu Unityのファイルマネージャにnemoが採用されてしまうぐらいには依存が薄いよ

663: 2024/04/06(土)04:22 ID:Z8nkFQhJ(1) AAS
>Thunarが落ちまくって用事にならない
うちのDebian12は何も問題が無い
ファイルマネージャー変えてそのまま使い続けるのは、やめたほうが良いと思う

664: 2024/04/06(土)11:22 ID:FwPx+JCf(1) AAS
記憶デバイスとかメモリとか壊れてんだろう
よくあること

665: 2024/04/06(土)11:26 ID:He5PHgCK(1) AAS
pcmanfmの名が挙がらないのカワイソス…
俺はターミナル内でrangerだな。全然使いこなしてないけど

666: 2024/04/06(土)19:11 ID:5QtSrwft(1) AAS
どうやって戻したのかわからないけどsidのライブラリが残ってるとか設定が.conigやら.localに残ってるとか。

667: 2024/04/06(土)22:13 ID:LpxrGYh/(1) AAS
ずっとWorkerを使ってるけど何だかあまり話を聞かないね。

668: 2024/04/07(日)14:01 ID:aKQFjGzb(1/9) AAS
えらいスレ伸びてるな

>>599
flatpakはyamlにどこからダウンロードしたものをどういうふうにビルドするのか全部テキストで書いてあるだろ
それをflathub公式のビルドサーバーがビルドするのだからビルドサーバーさえ無事なら安全だ

669(1): 2024/04/07(日)14:04 ID:aKQFjGzb(2/9) AAS
xzの話でスレ来たんだけどぎがじん見たらdebianのビルドサーバー30日に再構築したって話あったんだけど
stable用のビルドサーバーはsid使ってるの？
stable(bookworm)のバイナリに変なもの混じってたり署名流出したりしてないのこれ？？
ツイッターみたいなのでdebian開発者が大丈夫だって言ってたけどそもそも通しちゃってるし再構築の理由も大丈夫判断の根拠も何も返信しないから不安
あれだけ枯れたバージョンは最高って言ってる奴らなのに開発サーバーも自分使ってるのもsidなんだね

670(1): 2024/04/07(日)14:08 ID:aKQFjGzb(3/9) AAS
>>655
ファイラーはpcmanfm-qt、プロセスビューアーはqps、テキストエディタはKate、画像ビューアーはMComix、スマホ転送はKDE Connect
これでWinより快適
とくにKateは設定次第で化ける

671: 2024/04/07(日)14:09 ID:aKQFjGzb(4/9) AAS
ゲームはHeroic Games Launcherがいいぞ

672: 2024/04/07(日)14:11 ID:aKQFjGzb(5/9) AAS
flatpakでもHeroic Games LauncherとLutrisとWine bottlerはなんか怪しいな
起動時に更新勝手にダウンロードしてる
権限強いし悪意あればなんでもできそう
なんかロシアっぽいし

673(1): 2024/04/07(日)14:43 ID:b8czf4gJ(1) AAS
>>669
sidだって書いてあったの?
xz5.4も避けただけじゃないの?

674: 2024/04/07(日)14:49 ID:aKQFjGzb(6/9) AAS
>>673
再構築したビルドサーバーのこと？
わざわざ再構築するんだからsidか次期バージョン（名前知らない）でしょう。混入したのはbookwormより上のバージョンだけなんだから

675(1): 2024/04/07(日)14:59 ID:Eb+q2DFD(1) AAS
>>670
環境を作ることが趣味なのかな。ま、否定はしないけど。

676(1): 2024/04/07(日)15:06 ID:aKQFjGzb(7/9) AAS
>>675
KDE純正の抱き合わせソフトってほんとひどいでしょ。抱き合わせで削除できないし（おまえはIEか）
システムモニター？なんか買ったばかりの最新パソコンでも起動に２０秒くらいかかるよ(qpsなら一瞬）
ファイラーもめちゃくちゃ遅い

677(1): 2024/04/07(日)15:30 ID:u+7RWVrI(1) AAS
KDE抱き合わせソフトは確かに邪魔だな
kde-plasma-desktopだけインストールしてもkde-baseappsがついてくる

678: 2024/04/07(日)15:43 ID:MtATjH0a(1) AAS
>>676
だｋら
kdeを使う上で、debianは最もおすすめできないディストリなんですよ
私は、debianが嫌いなのではなくて、debianでkde使おうとして
がっかりする人が可愛そうだから言っています
debianユーザーが触っているのは、何年もまえのバージョンで
不具合修正パッチも適用されてないものです

679: 2024/04/07(日)15:55 ID:aKQFjGzb(8/9) AAS
解凍ソフトはArkのプラグインに>>177パッチ当てるといいぞ
日本語ファイル名のzipをGUIで解凍できる

680(1): 2024/04/07(日)16:04 ID:/QyjgAab(1) AAS
それはそれとして>>677はkdeのつかないplasma-desktopだけインストールすればいいだけでは

681: 2024/04/07(日)16:18 ID:aKQFjGzb(9/9) AAS
>>680
sudo apt purge plasma-systemmonitor エンター！パスワード！エンター（素早く！）すれば理由がわかる

682: 2024/04/07(日)17:24 ID:CJTg2j0c(1) AAS
アッーーー

683: ころころ 2024/04/09(火)15:41 ID:sdRZcXOW(1) AAS
なんだよホモスレかよ
俺糞ドフサだけどノン毛だし帰るわ

684: 2024/04/09(火)18:54 ID:+FbEjdgL(1) AAS
>>655
iOSのUNIX認証＝金で買っただけ

685: 2024/04/10(水)02:02 ID:nP+a6Dtx(1/2) AAS
結局奴がコミットしたバージョン使い続けるんかいな
追加された機能のせいでそれ以前のバージョンに安易に戻せないとか
この先どうするのか早く答えだせや

686: 2024/04/10(水)02:22 ID:zU8fYHJo(1) AAS
問題ない部分は使い続けてもいいんじゃないか

687: 2024/04/10(水)03:56 ID:nP+a6Dtx(2/2) AAS
つうか彼が関わっった部分全部精査されたん？
当初は未知の何かがまだ潜んでいる可能性は否定出来ないって話だったけど
彼が関わったっという部分でいうと今のstableもアウトっていう

688: 2024/04/10(水)10:26 ID:OF+xukME(1) AAS
ハンス・ライザーは嫁さん殺したような悪党だけど、彼が書いたコードも全部駄目かという問題なんじゃね？

689: 2024/04/10(水)11:59 ID:010jHHQi(1) AAS
違うと思うよ

690(1): 2024/04/10(水)12:21 ID:gXoI4Hlo(1/2) AAS
stableが5.4.1なんだよなあ
外部ﾘﾝｸ:packages.debian.org
Ubuntuの方はLTSは5.2.5で助かってんだけど
外部ﾘﾝｸ:packages.ubuntu.com

691: 2024/04/10(水)12:23 ID:gXoI4Hlo(2/2) AAS
>>690
＆sectionが§ionになってるw

692: 2024/04/10(水)20:14 ID:cgQ/+4Bg(1/2) AAS
やはり皆Slackwareへ回帰する運命か・・・

693(1): 2024/04/10(水)20:29 ID:cgQ/+4Bg(2/2) AAS
今の若いもんは知らんだろうが、昔はFreeBSDとSlackwareが２台勢力だったんだよ
フロッピーにブートイメージを書き込んでインストールしたもんだ

懐かしい脳

694: 2024/04/11(木)13:59 ID:NEv6P6Az(1) AAS
slackwareは甘えなのでLFS使ってたら？

695: 2024/04/11(木)14:28 ID:yZGse0C0(1) AAS
slackwareってネイティブ的にエロい感じはしないのかな？

上下前次 1-新書関写板覧索設栞歴

あと 307 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.041s