Arch Linux 18

[過去ﾛｸﾞ] Arch Linux 18 (1002ﾚｽ)
上下前次 1-新

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

253: 03/30(土)13:33 ID:rMF+o8m5(1) AAS
もうOpenBSDのチームで作られたものしか信用できない…

254(1): 03/30(土)13:59 ID:MyvqVKjv(1) AAS
今すぐアップグレードしろってアナウンス出てるな

Arch Linux - News: The xz package has been backdoored
外部ﾘﾝｸ:archlinux.org

255(2): 03/30(土)14:07 ID:ebUxR+7v(2/2) AAS
>>254
それ読んでたんだけど、
ldd "$(command -v sshd)"
ってやって、「liblzma」が出てこなければ
とりあえずは、大丈夫って書いてあんね

ただ、この問題のコミッター2年ぐらい前から活動してて700件ぐらいコミットしてたらしいし
他にもなにかあるかも知れないから、注目しとかないと

256: 03/30(土)14:14 ID:KM1K7R6s(1) AAS
残念な事にアクティブなメンテナの一人が実行犯のようだからxxなら信用出来るという類いのものではないような
報告者は偶然バックドアに気が付いたらしいけど、しばらく放置されてRHELやdebianのstableにも入ってたら大問題だっただろうな

257(1): 03/30(土)14:31 ID:2JgLY4AJ(1/3) AAS
奴が関わった部分は精査しないとな、脆弱性の種が仕込まれてるかも
これを発見したのがMicrosoftのエンジニアってのがなかなか…

258(1): 03/30(土)14:48 ID:2JgLY4AJ(2/3) AAS
外部ﾘﾝｸ:boehs.org
計画的だな
外部ﾘﾝｸ:github.com

259: 03/30(土)15:55 ID:bPTJ7z1V(1) AAS
>>257
几帳面にベンチマークとるデータベースシステムのエンジニアが偶然見つけた感じ
本当にラッキーだったね

260: 03/30(土)16:07 ID:9ubA0VR6(1) AAS
もし過去のコミットにも仕込んでてstableなディストロにまで波及したら大事だな

261: 03/30(土)17:33 ID:2JgLY4AJ(3/3) AAS
libarchiveにもJiaT75が疑わしい変更を加えていた模様(2021年

262: 03/31(日)17:23 ID:K1mGsmnE(1) AAS
ネットバンクのパスワードと抱えたほうがいいの？(´・ω・｀)

263(1): 03/31(日)21:25 ID:XRWC36Pw(1) AAS
>>252
他のディストリビューションはsshで外に晒してた奴は
クリーインストールで入れ直せって言ってるぞ
あと認証関係全部やり直し

264: 03/31(日)21:51 ID:wfpRdiGv(1) AAS
>>263
それ、侵入されちゃった可能性があるからじゃないの？
Archは、sshとリンクしてないから大丈夫

265: 04/01(月)01:01 ID:N0hXSuVB(1) AAS
>>246
そうなんだ
ありがとう

266(1): 04/01(月)09:26 ID:tdhI9IJ7(1/2) AAS
散々古いだのパッチが多いだの文句言われてるdebianの仕組みが役に立ったのか。

267(1): 04/01(月)10:34 ID:d8yCKIV+(1) AAS
liblzmaに関してはxzの上流が配布してるtarballに悪意のあるもんが含まれてたけどgithubで公開されてる方には入ってなくてArchは後者の方使ってたから一応それに関しては実際は問題ないって話もあるみたい？
まあ攻撃者があちこちにいっちょ噛みしてて他にも色々出てきそうやけど

268: 04/01(月)11:22 ID:xWzVYKz8(1/3) AAS
>>266
でも
Archは余計なパッチ入れてなかったから助かったんですけど…

>>267
そもそも、Archでは、sshとリンクするパッチないんで攻撃成立しないけど
念の為、ソースを変更した、xz 5.6.1-2を緊急でリリースした
って感じだと思いますよ

269(1): 04/01(月)11:45 ID:tdhI9IJ7(2/2) AAS
これはほんとにたまたまだろ。
archの場合は基本的に何もせずにただ放流するだけだから、こういう類の攻撃には一番脆弱といえる。
それに、今回のはfedoraやsuseなども影響受けているので、任意のライブラリであってもほぼ必須扱いなものということだろう。

270: 04/01(月)11:49 ID:xWzVYKz8(2/3) AAS
>>269
そうそう
たまたま、一番脆弱なはずの、Archだけが影響うけませんでした

271: 04/01(月)12:02 ID:V7hafgXg(1) AAS
他にも何か仕込まれてる恐れがあるから
JiaT75が関わる以前の5.3.1に戻したほうがいいって話もあるな

272: 04/01(月)12:26 ID:lMVaO+Xv(1) AAS
でもそこまで戻したら依存関係で色々ぶっ壊れるって言ってるね

上下前次 1-新書関写板覧索設栞歴

あと 730 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.010s