[過去ログ] Debian GNU/Linux スレッド Ver.99 (1002レス)
上下前次1-新
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
462: 2024/03/27(水)17:47 ID:9/sPN/El(1/3) AAS
Plankとかドックによく使うアプリ登録すれば良くね?
463(1): 2024/03/27(水)17:54 ID:Z8i1xlD6(1) AAS
Gnome の remove で残しておいて欲しいものも巻き込まるんで、Gnome を autoremove してから Cinnamon 入れたら確実かな。
autoremove すると、残しておきたいものもいなくなってXが起動しなくなるは発生するかも。
464: 2024/03/27(水)17:56 ID:HL8UkbY1(2/3) AAS
>>463
前の消す→別の入れる、よりも、別の入れる→前の消す、のほうが重複してる依存の再インストールを減らせる(かもしれない)
465: 2024/03/27(水)18:06 ID:FYdv8GZy(2/5) AAS
ファイルシステムに余裕があれば消す必要性が乏しい
466: 2024/03/27(水)18:35 ID:3K5uO4Vw(1) AAS
>>454
認定されているならそのURLを貼ってみて
467(1): 2024/03/27(水)19:14 ID:6N0eUMW4(1/4) AAS
>>460
依存関係でBudgieに必要なものまで削除されるよ
nautilusは消えると思う。
もし消えるのなら代わりにnemoを入れるといいよ
468(5): 2024/03/27(水)19:16 ID:au12fzxs(2/3) AAS
sudo apt install lxde -y
lightdm選択して再起動したけど
下部とか上部などにメニュー周りが一切ないんだけどlxdeてこういうもの?
メニューがないからシャットダウンも出来ないわ
ラズパイがlxdeベースだと見てこれ入れたかったんだが
469: 2024/03/27(水)19:24 ID:9/sPN/El(2/3) AAS
LXDEはデフォでパネル付くはずだけど
Openboxなら自分でパネルを追加しなければならないけどね
ちなみにデスクトップ上で右クリックしてメニューの中にシャットダウン系の項目は無い?
470: 2024/03/27(水)19:26 ID:6N0eUMW4(2/4) AAS
>>468
>apt install lxde -y
-y オプションでインストールしたから必要なパッケージが
不足してるのだと思うよ。
本来なら、下記の画像のようにボトムにパネルがあるよ。
外部リンク:a.fsdn.com
471: 2024/03/27(水)19:26 ID:KXtDAy40(2/8) AAS
>>460
file managerそのものか設定を変えるだけでOK
デフォルトはnautilusなのかな?
俺はUbuntu&gnome3だけど置けてる
最新情報見た方がいいと思うからググれ
472: 2024/03/27(水)19:28 ID:KXtDAy40(3/8) AAS
lxdeでパネル使いたければlxpanel使うんじゃねーの?
473: 2024/03/27(水)19:29 ID:KXtDAy40(4/8) AAS
>>467
Budgieのdockはなかなかキュートだから
gnome3であれ使ってんだよね
474: 2024/03/27(水)19:30 ID:KXtDAy40(5/8) AAS
好きに組み合わせて使いなよ
475: 2024/03/27(水)19:33 ID:c0Mp16W0(1/5) AAS
こういうWindowsXP未満のGUI使ってる奴らって
メインはWindowsでサブや鯖でLinux使ってるん?
さすがに、普段使いはできんやろこれ
476: 2024/03/27(水)19:33 ID:9/sPN/El(3/3) AAS
>>468
もしかしてターミナルの起動とシャットダウンの仕方を知らないのかなと思ったんで
Ctrl+Alt+Tでターミナル起動して
shutdown -h now
でOK
477: 2024/03/27(水)19:34 ID:HL8UkbY1(3/3) AAS
>>468
Debian系は*-desktopをインストールしないと必要なもの揃えてくれないよ
逆にそれが邪魔で個別にインストールすることもあるけども
478: 2024/03/27(水)19:44 ID:au12fzxs(3/3) AAS
なるほど...Debian12入れたばかりで
再度インストールし直した方が確実そうなので再インストールしてみます。
GNOMEはデスクトップとしてはCinnamonメインで使わないと思うけど
gnomeの基本ソフトとか他のディストリビューションでも使うだろうから一応チェック入れておくべきか?
479: 2024/03/27(水)19:51 ID:C/m3tHwx(1/3) AAS
>>468
もいっかい
$ sudo install lxde
を実行してみて、依存関係のパッケージを
インストールしますとか聞いてこない…?
前のDEに何を使ってたかも気になる
X不使用のまっ更からならクリーンだけど
別のDE使ってるとその設定の影響受けたりする
LXDE -> LXQtはほぼ問題なかったけど
タスクバーのアプレットが色々増えたりした
480: 2024/03/27(水)19:51 ID:6N0eUMW4(3/4) AAS
>>468
もしかすると、
openbox-session を起動したから真っ黒な画面になったと思う
その場合は、マウスの右クリックでメニューを表示できる。
ログイン画面で lxde-session を選択すると通常の画面が
表示されるよ
481: 2024/03/27(水)19:53 ID:C/m3tHwx(2/3) AAS
$ sudo apt install lxde
だった
482(3): 2024/03/27(水)20:29 ID:Whb2jstA(1) AAS
sudo 使わないで root でやらないのは何で?
483: 2024/03/27(水)20:33 ID:FYdv8GZy(3/5) AAS
sudo -i とか調べようとしないんじゃないの?
484(1): 2024/03/27(水)20:38 ID:c0Mp16W0(2/5) AAS
sudoめんどくさいから、結局sudo su -でrootになってることが多い
485: 2024/03/27(水)20:47 ID:6N0eUMW4(4/4) AAS
>>482
Debian Live の ISO でインストールすれば sudo が標準だよ
だからそのせいじゃないのかな
486: 2024/03/27(水)20:48 ID:KXtDAy40(6/8) AAS
>>482
rootでやるととてつもないことをやらかす可能性があるので
必要な時だけsudoで実行する
ログも残る
ずっとrootのshellで作業することももちろんある
我々には選択肢があるのだから
487: 2024/03/27(水)20:50 ID:c0Mp16W0(3/5) AAS
sudoつかってとんでもないコマンドを実行してしまうこともある。
488: 2024/03/27(水)20:52 ID:KXtDAy40(7/8) AAS
>>482
それからリモートでコマンドを実行する時に
それ専用にユーザを作ってやりたいことだけしか出来ないようにしとくとセキュリティ的に安全
あまりない事例だと思うが
子供のアカウントにも全ユーザに対するlprmの権限を与えたり
489: 2024/03/27(水)20:53 ID:c0Mp16W0(4/5) AAS
sudoで期待されることをちゃんとやりたければ
selinux使ったほうがいい気がする
490: 2024/03/27(水)20:55 ID:c0Mp16W0(5/5) AAS
linuxではないが昔メールでppapが推奨されたけど、
ppapする企業はだいぶ減った。
sudo もそうなるかもと期待したり。
491: 2024/03/27(水)21:13 ID:C/m3tHwx(3/3) AAS
一応sudo使ってるけど、何も確かめないで
sudo必要なとこは思考停止でsudo実行してたら
WindowsでUACダイアログが出たときに
思考せずに反射で許可してるのと変わらんなあと
自分でやってて思う
492(1): 2024/03/27(水)21:22 ID:FYdv8GZy(4/5) AAS
もともとは rootのパスワードが1つで
管理者は複数人存在し得ることが問題でしょうに
rootのパスワードが複数人知っていてかつ容易に変えづらい
自宅で管理者が1人しか想定されないならsudoは不要だよ
# 普段一般ユーザーで使うのはあたり前
493(1): 2024/03/27(水)21:23 ID:FYdv8GZy(5/5) AAS
あと ppapが存在することは知っていても
推奨するってどれだけ知識不足なんだろう
公開鍵とかあたり前なんだが
494: 2024/03/27(水)21:41 ID:KXtDAy40(8/8) AAS
ppapなんて見当違いも甚だしい
495: 2024/03/27(水)23:34 ID:4w1c8BTn(1) AAS
>>492
rootログインして、ハッシュマークのプロンプトを見ると気持ちが引き締まる
496: 2024/03/27(水)23:53 ID:WiZINtbb(1) AAS
アポーペーン!
497: 2024/03/28(木)08:33 ID:MtztWtyE(1) AAS
なんか最近、おかしいね
498: 2024/03/28(木)08:59 ID:oRr/zOKU(1) AAS
>>484
sudoただひとつの利点である「rootのパスワードをなしにできる」ことを無視するとは。
499: 2024/03/28(木)12:01 ID:SIVCXvkp(1) AAS
スクリプト荒らしが巧妙になってきてるよ
500: 2024/03/28(木)17:57 ID:JSXPBYQk(1) AAS
>>493
無知だなあw
一昔前はメールに添付するときはppapが当たり前だった
なことも知らんならドヤ顔で出てこず半年ROMってろ
501: 2024/03/28(木)18:35 ID:ONYJhgE+(1) AAS
俺はppapなんてやったことないな
リスキーで馬鹿げてる
502: 2024/03/28(木)18:36 ID:NGhgJZuA(1) AAS
ピコ太郎を語るスレ
503: 2024/03/28(木)19:08 ID:Z8N+PQZ6(1) AAS
マカーだ、○せ!!
504: 2024/03/28(木)20:52 ID:KEz0Lmmx(1) AAS
マカー憤死
505: 2024/03/29(金)09:32 ID:MaBW6BgZ(1) AAS
マカーは許さん
506(1): 2024/03/29(金)22:34 ID:ab74kS3e(1) AAS
# aptitude update
発見 外部リンク:deb.debian.org bookworm InRelease
発見 外部リンク:deb.debian.org bookworm-security InRelease
発見 外部リンク:deb.debian.org bookworm-updates InRelease
取得: 1 外部リンク:packages.sury.org bullseye InRelease [7,551 B]
エラー 外部リンク:packages.sury.org bullseye InRelease
以下の署名が無効です: EXPKEYSIG B188E2B695BD4743 DEB.SURY.ORG Automatic Signing Key <deb@sury.org>
W: 署名照合中にエラーが発生しました。リポジトリは更新されず、過去のインデックスファイルが使われます。GPG エラー: 外部リンク:packages.sury.org bullseye InRelease: 以下の署名が 無効です: EXPKEYSIG B188E2B695BD4743 DEB.SURY.ORG Automatic Signing Key <deb@sury.org>
W: 外部リンク:packages.sury.org を取得できませんでした: 以下の署名が無効です: EXPKEYSIG B188E2B695BD4743 DEB.SURY.ORG Automatic Signing Key <deb@sury.org>
W: 一部のインデックスファイルのダウンロードに失敗しました。無視されたか古いものを代わりに利用しています。
省9
507: 2024/03/29(金)23:48 ID:HzE0eyKG(1) AAS
これはずいぶん古いエラーだな
過去スレ見たか?
508: 2024/03/30(土)13:05 ID:74Iv7+JJ(1/4) AAS
xzに含まれるliblzmaにソースコードに
バックドアが仕込まれてて
debianではsidで(testingも?)xzのバージョンが5.6.0, 5.6.1だと
aptパッケージまで汚染されてたような
外部リンク:www.tenable.com
バックドアの作用はsshの認証が本来認証されない
不正な接続も認証されてしまうってことでいいんだろうか
509: 2024/03/30(土)13:51 ID:Jreq6HAg(1/2) AAS
このツールのようだが、何処かの圧縮で使ってる?
使っている気がしないのだが。
XZ Utils
外部リンク:ja.m.wikipedia.org
510: 2024/03/30(土)13:55 ID:74Iv7+JJ(2/4) AAS
debianだと標準でパッケージインストール選択されてた記憶
$ xz --version
でバージョンが表示されるならインストール済み
511: 2024/03/30(土)13:59 ID:0G89w6fn(1/2) AAS
カーネルの圧縮っていまxzじゃなかったっけ?
512: 2024/03/30(土)14:13 ID:74Iv7+JJ(3/4) AAS
Windowsではまあまあ使われてる7-zipと同じ系統の
LZMA圧縮アルゴリズムで、負荷は高いけど
高圧縮(特にテキストデータや無圧縮画像)、展開は比較的高速
その利点を活かしてソースリポジトリの配布用として
.tar.xzが使われてるね
非stableのdebianだけじゃなくfedoraやArchでも
コンパイル済みパッケージまで汚染されてて
海外のLinux界隈じゃ割と騒がれてるみたいだ
513: 2024/03/30(土)14:45 ID:qaYfKufH(1) AAS
AX88179はマジで厄介者だな
AX88179以外のUSBーNICでいいの誰か知らんか?
514: 2024/03/30(土)15:45 ID:Jreq6HAg(2/2) AAS
Debian の最小構成だとxz入ってなくて、fedora の最小構成だとxz入るんだよね。
世間の流れはzstdじゃないかな。
Now using Zstandard instead of xz for package compression
2020-01-04 - Mara Robin Broda
外部リンク:archlinux.org
圧縮アルゴリズム「Zstd」、Linux 5.19のファームウェア圧縮で採用へ
2022年4月26日
外部リンク:gihyo.jp
515: 2024/03/30(土)15:56 ID:znSgNeTH(1) AAS
スピードのzstdと圧縮率のxzで使い分けされてる
516: 2024/03/30(土)15:59 ID:74Iv7+JJ(4/4) AAS
zstd…あれは良いものだ
早くgzipを置き換えちゃって欲しい
そうすれば世界中で数%以上のCPUリソースと
時間と電力が削減されて、地球温暖化のペースが減速する
というのは大げさ過ぎるけど
517: 2024/03/30(土)16:52 ID:8mVBFjKz(1/2) AAS
xzはAndroidのカスロム配布時に使われてるのをよく見る
1/3くらいになってる
518: 2024/03/30(土)17:21 ID:6thlHRSj(1) AAS
先端のxz5.6系だけだよ
code injectionらしいけど詳しく分かってないから
5.4にロールバックしろってさ
俺は全部5.4, 5.2系しか使ってなかった
519: 2024/03/30(土)18:03 ID:M/qORohU(1) AAS
zstdでもなんかやろうとしてたみたいだけどね
外部リンク:github.com
520: 2024/03/30(土)23:01 ID:8mVBFjKz(2/2) AAS
国籍を調べたほうがいいな
521: 2024/03/30(土)23:47 ID:bv9B8s0M(1) AAS
xzは大昔変richさーがaptのデフォにしようと進めてた奴だな
522: 2024/03/30(土)23:50 ID:0G89w6fn(2/2) AAS
法に触れる国とかもあるのではないかなぁ
523: 2024/03/31(日)02:21 ID:XGyWephK(1) AAS
メンテナが疲弊してるところに漬け込まれたな
524: 2024/03/31(日)02:48 ID:/JQYCTWQ(1) AAS
外部リンク:blog.fascode.net
これでGnomeにデスクトップ上でアイコン出るようになったにはなったが
アプリ類をデスクトップに置けないんだが
525: 2024/03/31(日)05:57 ID:k/6MPgt/(1/2) AAS
外部リンク:micronews.debian.org
こんなサイトも持ってたなんてxzの問題無ければ知らなかった
526: 2024/03/31(日)06:09 ID:k/6MPgt/(2/2) AAS
xz に気が付いた経緯シュゴイ
外部リンク:mastodon.social
527: 2024/03/31(日)11:28 ID:0xqRI3eS(1) AAS
Desktop Icon NG (DING)を導入して
Gnomeのデスクトップにアイコンおけるけど
HOMEやゴミ箱はデスクトップで出てるけどアプリのアイコンも置けるの?置き方がわからんかった
528: 2024/03/31(日)11:59 ID:3/KLXJCX(1) AAS
~/Desktopにアプリの.desktopファイルを置く
529: 2024/03/31(日)15:41 ID:+b04inp4(1/6) AAS
古いPCにbookworm新規インストールしたら色々酷い
libreoffice-writerで日本語打ったら100%即フリーズ
原因はデフォルトでuim-mozcがインストールされるから。削除してfcitx5-mozcを入れると解決するけど日本人メンテナサボりすぎ
その後も縦書きと横書き混在の表作ろうとしたら無理だった
縦書きにした瞬間表の列と行が逆になる(列幅が行幅になる)とか・・・
横書き挿入するためにテキストボックスいれるとたぶん内部でx,yが逆とかぐちゃぐちゃに計算してるせいでドラッグするととんでもない位置に飛んでくからもう完全に無理
ijが下切れて判別できないとかフォント周りがWindows98以下
530(1): 2024/03/31(日)15:46 ID:+b04inp4(2/6) AAS
xzいまさら書きこんでも遅いけどdebianはsid以外はxzの問題関係ないよ
xzバージョン古いから安全。bookwormとか関係ない
531: 2024/03/31(日)16:08 ID:+b04inp4(3/6) AAS
そういえばカーネルをbookworm-backportsの6.6.13に上げたら激安定した
bookwormの6.1系はよく1時間くらいPC放置するとカーネルパニック永遠にでてフリーズとか頻発してたけど完全に治った
6.1系は1週間に5回はフリーズしてたのに6.6系は1ヶ月フリーズ0回
532: 2024/03/31(日)16:13 ID:eaLWmt8T(1) AAS
>>530
海外サイト確認したらsidに加えてtestingも
問題の影響受けるみたいだった、一応書いとくと
533: 2024/03/31(日)16:14 ID:+b04inp4(4/6) AAS
>>347
AMDは知らないけどnvidiaはorg.freedesktop.Platform.GL.nvidia-今使ってるドライバーのバージョンが正しくインストールされている必要があるよ
dpkgのnvidiaのドライバーと上のパッケージのドライバーのバージョンが合っていないとGPUが一切使われずmesaのソフトウェアエミュレーションで動くから遅くなったりクラッシュしたりする
nouveauは知らない。クローズドソース版の話ね
※この前新規でbookwormいれたときnouveau使ったけどログイン画面でるのに10分かかるわ(tty切り替えるとエラー連発)ログイン画面が完全にぶっ壊れて停波中のアナログテレビ画面に砂嵐でるわで最悪だった
534: 2024/03/31(日)16:23 ID:+b04inp4(5/6) AAS
古いGeforceにnvidiaのクローズドソースのドライバー(340系)いれるにはsidからパッケージ拾ってこれば入る
bookwormは無いからsidのnvidia-graphics-drivers-legacy-340xxディレクトリからdebダウンロードしてきて直接いれるとbookwormでも動く
nvidia公式の.run走らせるとぶっ壊れてsddmが起動しなくなるのでかなり注意
まれにゲームなどでXのディスプレイが検出できなくなるけど普通に使える。使えないソフトは使えない。たぶん340系と470系のパッケージ混在でlibglxとかなにかが壊れる
535: 2024/03/31(日)16:26 ID:+b04inp4(6/6) AAS
↑flatpak版があるならflatpak版をいれるとそちらだけGPUアクセラレーションが効いて回避できる
536: 2024/03/31(日)17:00 ID:TEcmzxFn(1) AAS
たぁ坊やらかしたか
537: 2024/03/31(日)17:05 ID:B29K1nOt(1) AAS
たぁ坊立ちんぼ食いしん坊
538(1): 2024/03/31(日)19:19 ID:0o2rZqex(1) AAS
sidなので思いっきりくらってるぽいが、aptやらが絡んでて単純に削除できんね
dpkgで強制的に削除したあとに、以前のversionの物をsnapshotから持ってくればいいんかな
もれなくシステム飛ばしそうな気がするぜ
liblzma5: Installed: 5.6.1+really5.4.5-1
539(1): 2024/03/31(日)19:30 ID:2DYFpIXG(1) AAS
そもそもsshがliblzmaなんかにリンクしてなければやられなかった
誰だよ最初にリンクさせたやつ
540: 2024/03/31(日)19:49 ID:aSoT3J2A(1) AAS
ごめん俺かも
541: 2024/03/31(日)20:38 ID:B2bVQpsg(1) AAS
どんな設計だったら、今回の被害は少なく出来たか教えてちょ。
というか、次は glibc が狙われたら逃げられないね。
542: 2024/03/31(日)21:05 ID:3xls585D(1) AAS
Debian や他のいくつかのディストリビューションは、systemd 通知をサポートするために openssh にパッチを当てており、libsystemd は lzma に依存しています
Arch Linux は openssh を直接的に liblzma にリンクしていないため、この攻撃ベクトルは存在しません
543: 2024/03/31(日)22:58 ID:Z4exBWZQ(1) AAS
この問題ってsidだけ?
stable使ってる人は心配無用なの?
教えてデビアソマーソ
544: 2024/04/01(月)00:00 ID:wd++OSYg(1/3) AAS
xzが先端の5.6系じゃなければ関係ない
545(1): 539 2024/04/01(月)00:11 ID:3Ofg34MU(1/2) AAS
やっちまったぜ dpkgまで動かなくなるとは思わなかった
deb落として来ても解凍出来ないので?
新年度になったし掃除を兼ねて再インスコするわ
sidに移行する前にholdしないとまたハマる
546: 2024/04/01(月)00:18 ID:yLg7KChu(1) AAS
5.6.xでもx86-64以外なら影響しないはず
547: 2024/04/01(月)00:28 ID:wd++OSYg(2/3) AAS
>>545
arが動けば解凍は出来るよ
ar vx なんとか.deb
548: 2024/04/01(月)00:30 ID:wd++OSYg(3/3) AAS
で中身は{data,control}.tar.xzね
549: 2024/04/01(月)01:09 ID:6PuhFc5i(1) AAS
2024年3月29日、圧縮ユーティリティ「xz-utils」にバックドアが発見されました。
xz-utilsはLinuxやmacOSで使われていて、バックドアがどのように利用されるのか詳細はまだ分析されている途中ですが、sshの認証システムに関連し、非常に重大なセキュリティ問題を引き起こすものだととらえられています。
現在、影響を受けるシステムでは、問題が発見されたバージョンxz 5.6.0/5.6.1を古いバージョンに戻したり、緊急パッチをリリースして対策が行われているようですが、より長期的には根本的な対策が必要となるのかもしれません。
例えば、Linuxディストリビューションの一つであるDebianプロジェクトは、悪意のコミッターが行ったxzへの変更を完全に含まない古いバージョンまで戻すことを検討しているようです。
この情報によると、バックドアを追加したとされるxzのメンテナJia Tan氏のコミットは最低でも750回を数え、バックドアが追加されたバージョンを元に戻すだけでは、他のバックドアが隠されていないかを保証するには不十分であるとのこと。バックドアが含まれていない直近の5.4.5にも同氏による多数のコミットが含まれているため、関与が行われていない5.3.1へ戻したほうが良いとの提案が行われています。
省3
550: 2024/04/01(月)01:54 ID:3Ofg34MU(2/2) AAS
さんきゅ
ソースはこれか 外部リンク[cgi]:bugs.debian.org
取り敢えず関与がないと言われているversionまで戻すことにした
ここまで下がるとsidだけの問題で済むのかな
551: 2024/04/01(月)06:02 ID:WauB/EHx(1/2) AAS
以前の大丈夫だと思われるiso落としてきて、そこから最小インスコ後にholdして
sidに移行しようとしたが、grubやらefi関係のパッケージを削除してしまうので
secure bootで躓くことになる
上のサイトで言われている様に一筋縄ではいかないね
俺の頭では無理ゲーだわ
後にsidに戻る事を考えるとこのまま11のstableで運用したくはないのに、その時また新規でインストールしかないかな
552: 2024/04/01(月)07:02 ID:2nzewwyw(1) AAS
WindowsのKB5034441とあわせて
クリーンインストールを推奨されたい
553(1): 2024/04/01(月)07:32 ID:LrIfXq0M(1/2) AAS
う?
これ、いつのバージョンまで遡ればよいの?
isoだとどれをインストールしたら良いですか
バックドア怖いなあ
554: 553 2024/04/01(月)07:46 ID:LrIfXq0M(2/2) AAS
外部リンク:piyolog.hatenadiary.jp
これみると、つぎのものが駄目ということか
Debian 2024年2月1日に公開された検証(unstable)バージョン(5.5.1alpha-0.1以降5.6.1-1を含む)
通常バージョンの最新版ならok?
555: 2024/04/01(月)11:51 ID:6wvj9EuC(1) AAS
大した理由もなくDebianでTestingやSidを使う意味が全くわからない
余程のワケでもない限りstableでいいんよ
クリティカルなセキュリティリスクでもない限りはOSもソフトもアプデしないほうがいい
常に何でも最新にしたがる人は定期的に何かしらの不具合に悩まされて時間を無駄にするからな
壊れていないのなら直す必要はないって格言を忘れずにいたいものだな
556: 2024/04/01(月)12:14 ID:Ba0yTuNd(1) AAS
>余程のワケでもない限りstableでいい
ということを十分理解した上で、なお使いたい人が一定数いる
俺は使わないけど
557: 2024/04/01(月)12:16 ID:cMc4uzBT(1) AAS
外部リンク:gigazine.net
XZ Utilsの悪意のあるバージョンはLinuxの製品版に追加される前に発見されたため、「現実世界のだれにも実際には影響を与えていない」とセキュリティ企業Analygenceの上級脆弱性アナリストのエイル・ドーマン氏は指摘しています。
ただし、ドーマン氏によると「しかし、それは単に攻撃者の不手際により早期発見されただけなので、もしもこれが発見されていなければ世界は大参事に陥っていたことでしょう」とのことです。
バックドアにはXZ Utilsの開発者が関与している可能性を指摘していました。
XZ Utilsのメンターとして開発プロジェクトに積極的に参加することで周囲の信頼を獲得していき、最終的にGitHubリポジトリでコードを直接コミットする権利を獲得したようです。
省1
558: 2024/04/01(月)12:36 ID:qq6AJ/aG(1) AAS
氷山の一角じゃねーかなー
他にもこの手のやつは入り込んでるとみた方がよさげ
559: 2024/04/01(月)12:47 ID:C9jMVUKl(1) AAS
昔の話だが、インターネットに接続してない所までどうやってハッキングするんだろうね。
外部リンク:business.nikkei.com
今回のは手口が分かったけど、凡人には想像出来ない方法で色々やってそう。
560: 2024/04/01(月)12:49 ID:Bw34sJi0(1) AAS
まあレビューとかはあっても大半のプロジェクトが人手不足でどこも割とガバガバだからしゃーないな
今回の犯人のコミットとかももsafe_fprintf()を何故かただのfprintf()に書き換えてんのにスルーでそのまんま通ってたり
ワイも参加しはじめの頃わざとじゃないけどバグ修正でめっちゃ基本的な脆弱性含んだ変更したパッチ送っちゃったけど何も言われず即マージされちゃったりとか経験あるし
561: 2024/04/01(月)13:24 ID:/6zqy0mA(1) AAS
>>538
> liblzma5: Installed: 5.6.1+really5.4.5-1
これってダウングレードしなくてもアップデートがかかるように
パッケージバージョン番号5.6.1に偽装した中身5.4.5じゃないのかな?
うちのtrixieはdpkg -l liblzma*で見るとそれがインストールされているけどdpkg -L liblzma5で見ると
/usr/lib/aarch64-linux-gnu/liblzma.so.5.4.5
になっている。3/28にアップデートがかかったみたい。
うちの場合はArm環境なので慌てなくても良さそうなんだけど。
上下前次1-新書関写板覧索設栞歴
あと 441 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.025s