Arch Linux 18 (991レス)
1-
249: 03/29(金)22:17 ID:Q2NWmpHK(1) AAS
arch固有ではないだろ
俺のfedoraにもいる

外部リンク[html]:www.freedesktop.org
250: 03/30(土)04:32 ID:8EgLuPDs(1) AAS
xz にバックドア問題。メンドクセー
251(1): 03/30(土)10:11 ID:6OPkH59B(1) AAS
ヒェッ
更新するだけで安心してええんか?
252(2): 03/30(土)12:23 ID:ebUxR+7v(1/2) AAS
>>251
とりまArchユーザーは、修正版入れるしか無いよね
他のディストリは、ダウングレードしろとか言ってるとこも
あるようですけど、それだって安全かどうか分からない
って意見もあるようです
外部リンク:gitlab.archlinux.org
外部リンク:forum.manjaro.org
外部リンク:forum.endeavouros.com
253: 03/30(土)13:33 ID:rMF+o8m5(1) AAS
もうOpenBSDのチームで作られたものしか信用できない…
254(1): 03/30(土)13:59 ID:MyvqVKjv(1) AAS
今すぐアップグレードしろってアナウンス出てるな

Arch Linux - News: The xz package has been backdoored
外部リンク:archlinux.org
255(2): 03/30(土)14:07 ID:ebUxR+7v(2/2) AAS
>>254
それ読んでたんだけど、
ldd "$(command -v sshd)"
ってやって、「liblzma」が出てこなければ
とりあえずは、大丈夫って書いてあんね

ただ、この問題のコミッター2年ぐらい前から活動してて700件ぐらいコミットしてたらしいし
他にもなにかあるかも知れないから、注目しとかないと
256: 03/30(土)14:14 ID:KM1K7R6s(1) AAS
残念な事にアクティブなメンテナの一人が実行犯のようだからxxなら信用出来るという類いのものではないような
報告者は偶然バックドアに気が付いたらしいけど、しばらく放置されてRHELやdebianのstableにも入ってたら大問題だっただろうな
257(1): 03/30(土)14:31 ID:2JgLY4AJ(1/3) AAS
奴が関わった部分は精査しないとな、脆弱性の種が仕込まれてるかも
これを発見したのがMicrosoftのエンジニアってのがなかなか…
258(1): 03/30(土)14:48 ID:2JgLY4AJ(2/3) AAS
外部リンク:boehs.org
計画的だな
外部リンク:github.com
259: 03/30(土)15:55 ID:bPTJ7z1V(1) AAS
>>257
几帳面にベンチマークとるデータベースシステムのエンジニアが偶然見つけた感じ
本当にラッキーだったね
260: 03/30(土)16:07 ID:9ubA0VR6(1) AAS
もし過去のコミットにも仕込んでてstableなディストロにまで波及したら大事だな
261: 03/30(土)17:33 ID:2JgLY4AJ(3/3) AAS
libarchiveにもJiaT75が疑わしい変更を加えていた模様(2021年
262: 03/31(日)17:23 ID:K1mGsmnE(1) AAS
ネットバンクのパスワードと抱えたほうがいいの?(´・ω・`)
263(1): 03/31(日)21:25 ID:XRWC36Pw(1) AAS
>>252
他のディストリビューションはsshで外に晒してた奴は
クリーインストールで入れ直せって言ってるぞ
あと認証関係全部やり直し
264: 03/31(日)21:51 ID:wfpRdiGv(1) AAS
>>263
それ、侵入されちゃった可能性があるからじゃないの?
Archは、sshとリンクしてないから大丈夫
265: 04/01(月)01:01 ID:N0hXSuVB(1) AAS
>>246
そうなんだ
ありがとう
266(1): 04/01(月)09:26 ID:tdhI9IJ7(1/2) AAS
散々古いだのパッチが多いだの文句言われてるdebianの仕組みが役に立ったのか。
267(1): 04/01(月)10:34 ID:d8yCKIV+(1) AAS
liblzmaに関してはxzの上流が配布してるtarballに悪意のあるもんが含まれてたけどgithubで公開されてる方には入ってなくてArchは後者の方使ってたから一応それに関しては実際は問題ないって話もあるみたい?
まあ攻撃者があちこちにいっちょ噛みしてて他にも色々出てきそうやけど
268: 04/01(月)11:22 ID:xWzVYKz8(1/3) AAS
>>266
でも
Archは余計なパッチ入れてなかったから助かったんですけど…

>>267
そもそも、Archでは、sshとリンクするパッチないんで攻撃成立しないけど
念の為、ソースを変更した、xz 5.6.1-2を緊急でリリースした
って感じだと思いますよ
1-
あと 723 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.009s