Debian GNU/Linux スレッド Ver.99

[過去ﾛｸﾞ] Debian GNU/Linux スレッド Ver.99 (1002ﾚｽ)
上下前次 1-新

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

562: 2024/04/01(月)14:05 ID:Vc51D7RK(1) AAS
Revert back to the 5.4.5-0.2 version
となってるから単に今回の対策版ですね

563: 2024/04/01(月)18:39 ID:WauB/EHx(2/2) AAS
なんだろうけど彼が関わってるversionなので不十分ではないかという議論が出てる

564(1): 2024/04/01(月)23:54 ID:53RUoinl(1) AAS
素人考えだけど、インジェクションだと仕込まれたのチェックするの難しいのかな？
しかし、偶然見つかったから良かったけど、場合によっては阿鼻叫喚の結末だったろうなぁ

565: 2024/04/02(火)00:13 ID:DBFExKBE(1) AAS
こういうのを抑止しようと思ったら刑事罰を課すのが良いのかな?

566: 2024/04/02(火)00:18 ID:xDXzyHQt(1/2) AAS
人の作った仕組みの一部を変えて、って頭いいよね。
気付かれなかったら、何処の国が利用するバックドアだったのだろう。

567(1): 2024/04/02(火)01:25 ID:Bi2pFQRE(1/2) AAS
ソフトにバックドアを仕掛けるのは諜報機関が多いだろな
アメリカイギリスロシア中国のどっかだろ

568: 2024/04/02(火)02:45 ID:nenh0KjO(1/4) AAS
>>564
チェックされてなかった
信用されてたので
3年がかり

569(1): 2024/04/02(火)06:59 ID:DwXVo4cx(1/3) AAS
このタイミングで動いたのはUbuntuのLTSのメジャーアプデ狙ってたんだろうな
WSLにもうまくすればMacにも影響与えることできただろうし

570(1): 2024/04/02(火)12:09 ID:l/iGXjCe(1) AAS
なんか、今回仕込んだメンテナが複数のディストリに5.6採用しろって働きかけてたってどこかで読んだよ

571: 2024/04/02(火)12:19 ID:xDXzyHQt(2/2) AAS
>>570
これじゃないかな
外部ﾘﾝｸ:boehs.org

572(3): 2024/04/02(火)13:01 ID:CZt4BFWK(1) AAS
>>567
コミットログのタイムスタンプの痕跡を見るに
中国(UTC+8)からに見せかけたUTC+2/UTC+3(夏時間)エリアの人間じゃないかという分析が出てるね
該当は東欧(EET)とイスラエル・エジプト

573: 2024/04/02(火)13:40 ID:nenh0KjO(2/4) AAS
>>572
ルーマニアだと諜報というより金だよな

574: 2024/04/02(火)14:28 ID:oSobLccJ(1/2) AAS
>>569
macはGPLv3排除してるのでプレインストールはされんだろ

575(1): 2024/04/02(火)14:38 ID:wb+v5CP8(1) AAS
今回のバックドアは圧縮ファイルに偽装して埋め込まれたコンパイル済みオブジェクトが実態なので
x86-64 linux以外はどうあがいても攻撃対象にならん

576: 2024/04/02(火)14:40 ID:oSobLccJ(2/2) AAS
それで思い出したがFreeBSDってLinuxバイナリ互換機能あるよな…

577: 2024/04/02(火)15:05 ID:5J5bcSU8(1) AAS
>>575
ソースコードの時点で悪意あるコードを
追加されてると思ったんだけど違うの??

578: 2024/04/02(火)15:55 ID:pY0n4nDz(1) AAS
今のところ判明している事実では違う
未知のバックドアがあることは否定しない

579: 2024/04/02(火)16:03 ID:Bi2pFQRE(2/2) AAS
>>572
ちょっと調べてみたけどイスラエルはそういうことやる国らしいな…
国をあげてゴリゴリのハッキングのプロ集団を育成とかしてるらしい
もちろん諜報機関の一角として

580: 2024/04/02(火)18:31 ID:iekf4TYW(1/3) AAS
ちょっと調べるまでもなく敵国に囲まれていればあたりまえ囲まれていなくてもあたりまえ

581: 2024/04/02(火)19:08 ID:HLe6dxv/(1/2) AAS
そも建国の経緯が権利を取り戻すため、つまり敵がいるから出来た国とも言える
大昔のことなんか知らんがな。失効失効
この件に関してだけはアラブの肩持つよ俺は

582: 2024/04/02(火)19:14 ID:iekf4TYW(2/3) AAS
debianを知っているということは少しは高等教育なり知的職業に携わる人物かと思っていたが…
ソースコードと同じように新聞も読まんと…

583: 2024/04/02(火)19:34 ID:nenh0KjO(3/4) AAS
>>572
夜型の中国人だろ
Firewall−1擁するイスラエルにしては拙速すぎる

584(1): 2024/04/02(火)19:52 ID:DwXVo4cx(2/3) AAS
露助に雇われた北チョン工作員

585: 2024/04/02(火)20:18 ID:iekf4TYW(3/3) AAS
まぁネットの通信とくに国際間はUSAを経由しているからね
スノーデンさんの告発によるまでもなく

586(1): 2024/04/02(火)20:51 ID:DwXVo4cx(3/3) AAS
でも今回のはきちんとコード確認してるのかな？って確認してただけだったりしてね
そろそろばれるかな？しつこくプッシュしてたらばれるかな？ってやってたけど
誰も気付いてくれなかったからこのままだと大ごとになるからその前に自らばらしただけだったりして

587: 2024/04/02(火)21:02 ID:nenh0KjO(4/4) AAS
>>586
中国だとやれって言われたらやらないと国家反逆罪
仕方ないからやったけど最後はバレるようにやったとか

588(1): 2024/04/02(火)21:12 ID:zc1oIx+D(1/2) AAS
>>584
だまれ糞ジャップ

589(1): 2024/04/02(火)21:14 ID:zc1oIx+D(2/2) AAS
犯人はイスラエル人
という説が出たら、急にスレが荒れだした。

答え合わせ終了だな。

イスラエル人も案外まぬけだ

590: 2024/04/02(火)21:39 ID:HLe6dxv/(2/2) AAS
なんとかして人のせいにする無駄な努力と厚顔無恥さは大小朝鮮の特徴
これだけでは断定できない

591: 2024/04/02(火)21:40 ID:V6nxF6yk(1) AAS
>>588-589 💩ウンコリアン💩

592: 2024/04/02(火)22:50 ID:KkWCihtE(1) AAS
（Д`；　）なにこのスレ・・・

593(1): 2024/04/02(火)23:41 ID:06HS7Owx(1) AAS
犯人はまだ不明でも、犯人が何を考えていたかは手口が語ってる
sshという強固でクリティカルな標的を落とすため、人の目が少ないxzを選んで、裏口から本丸を目指している
xz以外にも同じような半放置状態のプロジェクトが複数、犯人の攻略対象リストに上がっているとみていい

本丸に通じる裏道を作ってしまっていたsystemdの罪は重い

594(1): 2024/04/03(水)00:53 ID:yjFzqZT+(1) AAS
こういうことってこれからは頻発するんかね
困るんですけど

595(1): 2024/04/03(水)00:56 ID:kjzEWtpV(1) AAS
つまりGNUが諸悪の根源

596: 2024/04/03(水)01:02 ID:n5WiJNSJ(1) AAS
>>594
今までもあったけれど広く知れ渡らなかっただけ

597(1): 2024/04/03(水)01:05 ID:RvdgMQHQ(1) AAS
昔からバックドアは作られ続けてたけど、今回は仕込みの時点で一般人にバレたケースってことじゃね？
DARPAからOpenBSDが補助金もらってたり、openssh は時々バックドア見つかったり。
外部ﾘﾝｸ:ascii.jp

598: 2024/04/03(水)01:16 ID:l2JlL4gu(1/3) AAS
ググれば判るけどバックドア作りの名人と言えばCIA
もちろん世界中の諜報機関が当たり前にやってる事なんだろな
俺がその役割の組織に所属してたら当たり前に同じような事をしてると思う
まだバレてないだけで結構な数のバックドア付きのオープンソースコード()製品は多数あるだろ

599(1): 2024/04/03(水)01:24 ID:l2JlL4gu(2/3) AAS
Flatpakも検証付いてないのは絶対に入れないほうがいいよ
有名なソフトでみんな使ってるから誰かが全て中身を確認し精査してるなんて勘違いはしない方がいい
マジな話で

600: 2024/04/03(水)01:29 ID:uZImSE56(1) AAS
>>593
systemd?
>>595
GNU?

601: 2024/04/03(水)01:35 ID:nfs4F2nf(1) AAS
バックドアがほぼ絶対に近いほど無いと言えるシステムってなんかあるのん？

602(2): 2024/04/03(水)01:47 ID:kbSe3lQx(1/2) AAS
systemdがxz(liblzma)に依存していて
一部のディストリではopensshをlibsystemdに依存させるアンオフィシャルな改造が入ってるので
それを利用してliblzmaに埋め込まれた不正なコードがsshdに干渉できるようになっている

603(1): 2024/04/03(水)03:36 ID:0y1UUUyJ(1/2) AAS
ネオナチlinuxの ubuntu （バックドアいっぱい）は基本無傷なんだから
犯人の政治的傾向は明白w

604: 2024/04/03(水)05:19 ID:pdbZTS9Q(1/2) AAS
>>597
全然違う
その記事はopensshが落とされたとは書いてない

>>602
こういう手口でしか攻略できなかった事が、逆にopensshのコードと開発体制の堅牢さの証明になってるな
systemdの危険性は警告されてたんだから、Debianにsystemdを採用した連中はDevuan勢に謝るべき
一番悪いのはRedHatだが

605(1): 2024/04/03(水)08:32 ID:/J5qC0sU(1) AAS
>>603
💩

606: 2024/04/03(水)10:26 ID:rblYF2XA(1/3) AAS
>>602
ロギングで圧縮と暗号化がサポートされてるから
lzmaやgcryptが必要になるんだな

607(1): 2024/04/03(水)11:09 ID:0y1UUUyJ(2/2) AAS
>>605
馬鹿は ubuntu でも使ってろw

608(2): 2024/04/03(水)13:13 ID:kbSe3lQx(2/2) AAS
openssh側にsystemdを直で (libsystemdを使わずソケットベースIPCで) 触るコードが入った模様
外部ﾘﾝｸ:github.com

609: 2024/04/03(水)13:21 ID:rblYF2XA(2/3) AAS
>>608
protocolを直接叩くわけね

610: 2024/04/03(水)14:05 ID:l2JlL4gu(3/3) AAS
>>608
🤔

611: 2024/04/03(水)14:09 ID:pu4h8R+r(1) AAS
>>607
🫏🦌💩

612(2): 2024/04/03(水)16:26 ID:n0SKobfa(1) AAS
外部ﾘﾝｸ:gigazine.net

2024年3月29日に、圧縮ツールの「XZ Utils」に、悪意のあるバックドアが仕込まれていたことが明らかになりました。どのようにバックドアが仕掛けられたのかについて、Googleのエンジニアであるラス・コックスさんが時系列順にまとめました。

613: 2024/04/03(水)16:51 ID:rblYF2XA(3/3) AAS
>>612
Russ Coxさんこんなことしてるのね

614: 2024/04/03(水)17:42 ID:fDKuEtDh(1/3) AAS
>>612
１．メンテナが鬱っぽいOSSプロジェクトを探す
２．善良なコントリビュータのふりをして潜り込む
３．時間をかけて信頼を得る
４．自作自演で複数垢から「あいつのパッチ早く取り込めよ」とメンテナに圧をかける
５．圧をかけられた鬱病メンテナは潜り込んだ人物を共同メンテナに指名
６．満を持してバックドアを仕込む

これ国家に支援された組織がやってるだろ

615: 2024/04/03(水)17:45 ID:fDKuEtDh(2/3) AAS
次からはもっと手口洗練させるだろうし
バックドアももっとバレにくいの入れるだろうし
こんな攻撃ガンガンやられたら世界中のOSSプロジェクト崩壊するわ

616: 2024/04/03(水)17:51 ID:fDKuEtDh(3/3) AAS
めんどくさいけどDebian Developerの選考手続きが正義なのかな
あれでもガチの悪意ある人間は弾けないだろうが

617: 2024/04/03(水)20:01 ID:efaq3P2u(1) AAS
>>506
自己解決した。
過去スレなんか探しても見つからなかった。
やったのは、phpの古いやつを削除して、phpモジュールを一つづつ更新したらでなくなった。

618(2): 2024/04/03(水)22:26 ID:pdbZTS9Q(2/2) AAS
狙われたのはあるプロジェクト単体ではなく、Linux生態系の脆弱性
コンドームもしないでやりまくるフリーセックス野郎が被害を深刻化させてる

619(1): 2024/04/03(水)22:36 ID:rnkjDrK0(1) AAS
結局ubuntu proとか入っとけば安心なの？
落ちてきたもの入れてるだけの自分にはどうしようもないな

620: 2024/04/03(水)23:52 ID:il1mDni5(1) AAS
>>618
実際ホモ多いしやっぱそういうとこなんだろうな

621: 2024/04/04(木)05:57 ID:CrC0JUiJ(1) AAS
>>619
一般利用者の今回の教訓は
開発リリースを使うな
デストリは慎重に選べ
過去にOpenSSLでもあったことで
特段大騒ぎするようなことでもない

622: 2024/04/04(木)06:25 ID:IuaiqHi1(1) AAS
>>618
バックドアを発見できたのもオープンソースの利点
企業内のソフトだと一生気付かれないよ

623: 2024/04/04(木)06:42 ID:uoyiNgtE(1) AAS
"Given enough eyeballs, all bugs are shallow"
-- Eric Steven Raymond

624(1): 2024/04/04(木)09:23 ID:Qs6OTwq6(1) AAS
オープンソースだからこそ仕込めたバックドアを
オープンソースだから発見できたとドヤる
まさにマッチポンプ

625: 2024/04/04(木)09:40 ID:ocES7x14(1) AAS
人間ってやつは欲望ってもんに翻弄される欠陥経済動物なんだからしょうがあるめえ

626(1): 2024/04/04(木)10:00 ID:qwuLzKiL(1) AAS
最近のWindowsにはOpenSSHもtarもcurlもその他諸々入ってるが、それは検証されてるのか？

627: 2024/04/04(木)10:24 ID:r/9XAiMM(1) AAS
板違い

628(1): 2024/04/04(木)10:39 ID:vBRUYOIX(1) AAS
一匹みつかれば100匹はいるみたいに、
このバグは運良く見つかっただけで
他にも凶悪な改悪がいろんな所に潜んでそうな気がする。

629(1): 2024/04/04(木)10:48 ID:ncccR5RA(1/5) AAS
>>626
OpenSSHは直接関係ない
systemdのnd-notify対応で
libsystemdをリンクしたからまずかった
Windowsの場合MS提供の公式OpenSSLを使うから
systemd対応してない
WSL2上のOpenSSL使ってる奇特な人は
選んでるデストリ次第では影響が出る可能性ある

630: 2024/04/04(木)10:49 ID:ncccR5RA(2/5) AAS
>>628
それはこれまでも同じだ
>>624みたいなこと言う人も前からいる
童貞みたいなこと言うのは辞めるんだ

631: 2024/04/04(木)11:05 ID:A4LkZZ83(1) AAS
AIでなんとか検知できんもんなの

632: 2024/04/04(木)11:16 ID:eE4GR57t(1/2) AAS
AIでLinuxカーネルやgccを生成できない
それだけの能力

633(3): 2024/04/04(木)11:52 ID:SFjMKtP8(1/4) AAS
オープンソースと言っても全ての行を読んでる人なんて稀…というかいるのか？ってレベルだから
ましてやアプデの度に全ての行を読むなんて事に膨大な時間を使う奇特な奴はいないからね
そもそもGitHubのソースからビルド出来ない『再現可能ではない』人気アプリが余りにも多すぎて、オープンソースコードってものを誤解しまくってる人が多いなぁって思ってる
98%オープンソースソースだけどちょっとクローズドな部分もあります😆ってのも多すぎるけど、それは俺からしたらクローズドと何も変わらない

634: 2024/04/04(木)12:32 ID:aFAGnHwG(1) AAS
野菜ジュースとかと似てるな

635(1): 2024/04/04(木)14:29 ID:ncccR5RA(3/5) AAS
>>633
最初の二行
そんなこと馬鹿げたこと言ってる人いるんだな

636(1): 2024/04/04(木)15:16 ID:SFjMKtP8(2/4) AAS
>>635
最初はフルオープンソースだけど人気が出て広まり始めたら一部だけをクローズドにするアプリって結構あるぞ
けど大体の人はそういうの気にしてないから誰も何も言わないパターン多い
特にウォレットアプリなんてそのパターンは見飽きるほどに見飽きた

637(1): 2024/04/04(木)17:43 ID:ncccR5RA(4/5) AAS
>>636
>>633の後半についてはさほど異議はない
最後の１行がやや二極論過ぎないかと思うが

638: 2024/04/04(木)18:23 ID:SFjMKtP8(3/4) AAS
ソースに目を通して全てを確認してから自分でビルドして…なんて時間かかりすぎて現実的ではないから俺も妥協しちゃうけどね

639(1): 2024/04/04(木)18:37 ID:SzWQkYld(1) AAS
一部がクローズドってことは特定の環境でしか動かないってことだからなあ

640: 2024/04/04(木)18:55 ID:zXq2GM3A(1) AAS
動く動かないの話ではないのでは

641: 2024/04/04(木)18:56 ID:n4HRmLAB(1) AAS
末端は降りてきたものを入れるだけだからメンテナーさん頑張ってねとしか言いようがない

642(1): 2024/04/04(木)19:03 ID:VRDjESDb(1) AAS
>>637はビルドするときに全リンクライブラリのソースも読んでいるのか？すごいな

643(1): 2024/04/04(木)19:09 ID:ncccR5RA(5/5) AAS
>>642
どうしてそんな主張してると思った?

644: 2024/04/04(木)19:24 ID:84MKj71N(1/2) AAS
>>643
皮肉だよ　どうせ読んでいないよね？というか読めないよね
>>633が書いているように事実上クローズドとたいして変わらないけどな
開発側にやや恩恵があるくらいだよ

645: 2024/04/04(木)19:25 ID:84MKj71N(2/2) AAS
id変わったけど642

646(1): 2024/04/04(木)20:23 ID:SFjMKtP8(4/4) AAS
>>639
動くにはどれも問題なく動くよ
ブラウザとかでもオープンソース歌ってるけど、よく調べたら一部分だけクローズドですってのもあるじゃん
あーいうの卑怯だなっていつも思う
ならオープンソース(一部だけクローズド)ってちゃんと書いとけと言いたいね
というかオープンソース名乗るなと

647: 2024/04/04(木)21:10 ID:eE4GR57t(2/2) AAS
全部でなければその一部にバックドアなりマルウェアなり仕込めるからね

648: 2024/04/04(木)21:16 ID:ADVffSey(1) AAS
>>646
バイナリでしか提供されない部分があるということは
バイナリが提供されるOSやアーキテクチャでしか動かないだろ

649: 2024/04/04(木)23:59 ID:6GuM52ln(1) AAS
>>629
systemdがないことがWindowsのメリットだな

650: 2024/04/05(金)00:47 ID:2nYxKUQU(1) AAS
外部ﾘﾝｸ:cyberplace.social

Windowsに含まれるtar.exeがJirのコミットが含まれるバージョンで話題になってる
あと最近エクスプローラが.tar.xzの解凍をサポートしたのでそっちでもなんかあるかも

651: 2024/04/05(金)02:05 ID:x0ffG5+Z(1) AAS
今はバックドアは塞がれたの

652(1): 2024/04/05(金)08:48 ID:UYt+TgWU(1/2) AAS
いつまで板違いやってんだ、このペクチョン

653: 2024/04/05(金)09:48 ID:/omqW2/M(1) AAS
>>652
糞ジャップだまれ

お前は地獄落ちが決定済み

654: 2024/04/05(金)10:14 ID:UYt+TgWU(2/2) AAS
ペクチョンぶちギレﾜﾛﾀ

655(2): 2024/04/05(金)23:50 ID:RZmLlVQN(1) AAS
例の一件でsidからstableに数年ぶりに戻ったが、どういうわけか余程不安定だ

Thunarが落ちまくって用事にならない

656(1): 2024/04/06(土)00:06 ID:SBjfnFyy(1) AAS
ファイルマネージャー変えればいいじゃん

657: 2024/04/06(土)00:35 ID:PDNeY6RI(1) AAS
>>656
xfceなんだけどおすすめある？

658: 2024/04/06(土)00:44 ID:WNq0VFdD(1/2) AAS
うちのThunarはなんとも無いけどねぇ
Dolphinとか使ってみたら？

659: 2024/04/06(土)00:47 ID:kK5f53Fz(1/3) AAS
DolphinはKDEと連携し過ぎてるから、他のDEで使うならnemoのほうがおすすめ

660: 2024/04/06(土)00:53 ID:WNq0VFdD(2/2) AAS
別に試す気は無いがCinnamonのNemoとMATEのCajaってどう違うんだろ？

661: 2024/04/06(土)01:01 ID:kK5f53Fz(2/3) AAS
あまり違わんけど、CinnamonのxappシリーズはDE依存してないので他のDEから安心して使える

上下前次 1-新書関写板覧索設栞歴

あと 341 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.273s*