並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 80件

新着順 人気順

xzの検索結果1 - 40 件 / 80件

タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。

xzに関するエントリは80件あります。 セキュリティsecuritylinux などが関連タグです。 人気エントリには 『XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog』などがあります。
  • XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog

    2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh

      XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
    • 広く使用されている「xz」にssh接続を突破するバックドアが仕込まれていた事が判明。重大度はクリティカルでLinuxのほかmacOSにも影響 | ソフトアンテナ

      Red HatやDebianを含むLinuxディストリビューションで広く使用されている圧縮ツール「xz」の最新版に悪意のあるバックドアが含まれていた事がわかりました(Ars Technica)。 発見した開発者のAndres Freund氏は、xz version 5.6.0と5.6.1に悪意のあるコードが含まれていることが分かったと指摘しています。幸い、このバージョンは主要なLinuxディストリビューションの製品リリースでは使用されていませんが、Fedora 40やFedora Rawhide、Debian testing/unstable/experimentalなどのベータ版リリースには含まれていたそうです。 macOSのHomebrewでは、複数のアプリがxz 5.6.1に依存している事が判明し、現在xz 5.4.6へのロールバックが行われています。 悪意のある変更は難読化され、バ

        広く使用されている「xz」にssh接続を突破するバックドアが仕込まれていた事が判明。重大度はクリティカルでLinuxのほかmacOSにも影響 | ソフトアンテナ
      • xzパッケージに仕込まれた3年がかりのバックドア、スケール直前に見つけたのはMicrosoftの開発者 | gihyo.jp

        Linux Daily Topics xzパッケージに仕込まれた3年がかりのバックドア⁠⁠、スケール直前に見つけたのはMicrosoftの開発者 “アップストリームのxzリポジトリとxz tarballsはバックドア化されている(The upstream xz repository and the xz tarballs have been backdoored)⁠”―2024年3月29日、Microsoftに所属する開発者 Andres Freundが「Openwall.com」メーリングリストに投稿したポストは世界中のオープンソース関係者に衝撃を与えた。 backdoor in upstream xz/liblzma leading to ssh server compromise -oss-security 主要なLinuxディストリビューションにはほぼ含まれているデータ圧縮プログラ

          xzパッケージに仕込まれた3年がかりのバックドア、スケール直前に見つけたのはMicrosoftの開発者 | gihyo.jp
        • 紀藤正樹 MasakiKito on Twitter: "#統一教会 系原理研究会発行の大学新聞の名前が紛らわしい。京大新聞がまとめてくれています >京都大学には私たちがつくっている「京大新聞」とは別に、「京大学生新聞」と呼ばれる学生新聞が存在します。これは原理研究会が作成している学生新… https://t.co/3P4nQYO8XZ"

          #統一教会 系原理研究会発行の大学新聞の名前が紛らわしい。京大新聞がまとめてくれています >京都大学には私たちがつくっている「京大新聞」とは別に、「京大学生新聞」と呼ばれる学生新聞が存在します。これは原理研究会が作成している学生新… https://t.co/3P4nQYO8XZ

            紀藤正樹 MasakiKito on Twitter: "#統一教会 系原理研究会発行の大学新聞の名前が紛らわしい。京大新聞がまとめてくれています >京都大学には私たちがつくっている「京大新聞」とは別に、「京大学生新聞」と呼ばれる学生新聞が存在します。これは原理研究会が作成している学生新… https://t.co/3P4nQYO8XZ"
          • xzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094) - SIOS SECURITY BLOG

            OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。 03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており、いずれSBOMと関係する話として取り上げられると思います。 (SBOMの話、VEXの話はこちら)。 今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。 【04/01/2024 09:

              xzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094) - SIOS SECURITY BLOG
            • 「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に/0.5秒の遅延からたまたま発覚、数年をかけた周到なやり口が明るみに

                「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に/0.5秒の遅延からたまたま発覚、数年をかけた周到なやり口が明るみに
              • Everything I know about the XZ backdoor

                Democracy is on the ballot. For her future, vote.Everything I know about the XZ backdoor stateevergreeninblogtagsopen-sourcedate3/29/2024This publication was last updated at 12:49 PM EST on April 8th Recently, a backdoor was discovered in XZ, a popular library for lossless data compression. Initial research efforts were predominantly concentrated on unpacking the well-disguised attack vector, whil

                • xzにバックドアが混入した件のまとめ(CVE-2024-3094) - Qiita

                  本記事は4月10日9:00(JST)時点で判明している事実をまとめたものです。誤りがあればコメントでお知らせください。 本記事には誤りが含まれている可能性があります。 新しい情報があれば随時更新します。 4/10 9:15 キルスイッチの動作について追記しました。 4/2 18:30 Q&Aを追加しました。 4/2 11:30 実際にバックドアが存在する環境を作成し、攻撃可能なこと、出力されるログ等について追記しました。また、攻撃可能な人物は秘密鍵を持っている必要があることを追記しました。 ところどころに考察を記載しています。 事実は~です。~であると断定し、考察、推測、未確定情報は考えられる、可能性があるなどの表現としています。 またpiyokango氏のまとめ、JPCERT/CCの注意喚起もご覧ください。 なお、各国のCSIRTまたは関連組織による注意喚起の状況は以下のとおりで、アドバ

                    xzにバックドアが混入した件のまとめ(CVE-2024-3094) - Qiita
                  • xz-utils backdoor situation (CVE-2024-3094)

                    xz-backdoor.md FAQ on the xz-utils backdoor (CVE-2024-3094) This is a living document. Everything in this document is made in good faith of being accurate, but like I just said; we don't yet know everything about what's going on. Background On March 29th, 2024, a backdoor was discovered in xz-utils, a suite of software that gives developers lossless compression. This package is commonly used for c

                      xz-utils backdoor situation (CVE-2024-3094)
                    • Linuxの生みの親リーナス・トーバルズが「XZ Utils問題」「オープンソース開発」「RISC-V」「AIの台頭」などについて語る

                      The Linux Foundationが2024年4月16日から18日にかけて開催したOpen Source Summit North Americaの中で、Linuxの生みの親でLinuxカーネル開発の優しい終身の独裁者としても知られるリーナス・トーバルズ氏が、Verizonのオープンソースプログラムオフィス責任者であるディルク・ホーンデル氏とともに、Linux開発と関連する問題について公開での議論を行いました。 Linus Torvalds on Security, AI, Open Source and Trust - The New Stack https://thenewstack.io/linus-torvalds-on-security-ai-open-source-and-trust/ Linus Torvalds takes on evil developers, ha

                        Linuxの生みの親リーナス・トーバルズが「XZ Utils問題」「オープンソース開発」「RISC-V」「AIの台頭」などについて語る
                      • 圧縮ツール「XZ Utils」にバックドアを仕込んだ謎の人物「Jia Tan」は一体何者なのか?

                        2023年3月29日に、Linuxで広く採用されている圧縮ツール「XZ Utils」にバックドアが仕込まれていることが発覚しました。このバックドアを仕込んだ「Jia Tan」と名乗る人物の正体について、プログラマーのエバン・ボエス氏がGitHubコミットなどを追いかけて分析した結果を公開しています。 Everything I know about the XZ backdoor https://boehs.org/node/everything-i-know-about-the-xz-backdoor XZ Utilsはオープンソースで開発されており、複数人から寄せられたコードをメンテナがマージする開発形態を取っていました。XZ Utilsのメンテナは長年ラッセ・コリン氏が務めていたのですが、2022年にJia Tanがコリン氏に代わってメンテナに就任。そして2024年2月23日にJia

                          圧縮ツール「XZ Utils」にバックドアを仕込んだ謎の人物「Jia Tan」は一体何者なのか?
                        • XZ Utilsにバックドア攻撃が行われるまでのタイムラインまとめ

                          2024年3月29日に、圧縮ツールの「XZ Utils」に、悪意のあるバックドアが仕込まれていたことが明らかになりました。どのようにバックドアが仕掛けられたのかについて、Googleのエンジニアであるラス・コックスさんが時系列順にまとめました。 research!rsc: Timeline of the xz open source attack https://research.swtch.com/xz-timeline XZ Utilsおよび設置されていたバックドアについては下記の記事で解説しています。 Red HatやDebianなどLinuxディストリビューションの組込み圧縮ツール「XZ Utils」に悪意のあるバックドアが仕掛けられていたことが発覚 - GIGAZINE XZ Utilsへの攻撃を行った「Jia Tan」という名前の攻撃者は2021年後半ごろから数年に渡ってXZ

                            XZ Utilsにバックドア攻撃が行われるまでのタイムラインまとめ
                          • しんぶん赤旗日曜版🕊 on Twitter: "【スクープ】 「Dappi」運営に関与した企業の社長が自民党本部の事務総長の親戚であることが編集部の取材で判明。社長の名刺も入手。登記簿によれば事務総長の親族の土地(群馬県)に社長が住宅を新築。ローン取扱店は、国会の通行証がないと… https://t.co/LyTR8cV7xZ"

                            【スクープ】 「Dappi」運営に関与した企業の社長が自民党本部の事務総長の親戚であることが編集部の取材で判明。社長の名刺も入手。登記簿によれば事務総長の親族の土地(群馬県)に社長が住宅を新築。ローン取扱店は、国会の通行証がないと… https://t.co/LyTR8cV7xZ

                              しんぶん赤旗日曜版🕊 on Twitter: "【スクープ】 「Dappi」運営に関与した企業の社長が自民党本部の事務総長の親戚であることが編集部の取材で判明。社長の名刺も入手。登記簿によれば事務総長の親族の土地(群馬県)に社長が住宅を新築。ローン取扱店は、国会の通行証がないと… https://t.co/LyTR8cV7xZ"
                            • oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise

                              Follow @Openwall on Twitter for new release announcements and other news [<prev] [next>] [thread-next>] [day] [month] [year] [list] Message-ID: <[email protected]> Date: Fri, 29 Mar 2024 08:51:26 -0700 From: Andres Freund <[email protected]> To: [email protected] Subject: backdoor in upstream xz/liblzma leading to ssh server compromise Hi, After obse

                              • Linux環境で使用されている圧縮ツール「XZ Utils」に仕掛けられたバックドアのスクリプトをGoogleのエンジニアが解説

                                2024年3月29日に、圧縮ツールのXZ Utilsに、悪意のあるバックドアが仕込まれていたことが明らかになりました。そのバックドア攻撃において攻撃者が使用したスクリプトについてGoogleのエンジニアであるラス・コックス氏が解説しています。 research!rsc: The xz attack shell script https://research.swtch.com/xz-script XZ Utilsへの攻撃がどのように行われたのかという時系列順のまとめは下記記事で確認できます。 XZ Utilsにバックドア攻撃が行われるまでのタイムラインまとめ - GIGAZINE コックス氏は今回の攻撃は大まかに「シェルスクリプト」の部分と「オブジェクトファイル」の部分の2つに分割できると述べました。攻撃はソースコードをコンパイルする「make」に対し、環境に応じて適切な設定を行う「con

                                  Linux環境で使用されている圧縮ツール「XZ Utils」に仕掛けられたバックドアのスクリプトをGoogleのエンジニアが解説
                                • research!rsc: Timeline of the xz open source attack

                                  Posted on Monday, April 1, 2024. Updated Wednesday, April 3, 2024. Over a period of over two years, an attacker using the name “Jia Tan” worked as a diligent, effective contributor to the xz compression library, eventually being granted commit access and maintainership. Using that access, they installed a very subtle, carefully hidden backdoor into liblzma, a part of xz that also happens to be a d

                                  • 「XZ Utils」のバックドア問題--オープンソースのセキュリティを考える

                                    Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2024-04-12 07:30 すべての始まりは、Microsoftの主任ソフトウェアエンジニアであるAndres Freund氏が、「Debian Linux」ベータ版のSSHリモートセキュリティコードの実行速度が遅い理由に関心を持ったことだった。Freund氏が詳しく調べたところ、問題が明らかになり、xzデータ圧縮ライブラリーのチーフプログラマー兼メンテナーだったJia Tanと名乗る人物がコードにバックドアを仕掛けていたことが分かった。その目的は、攻撃者が「Linux」システムを乗っ取れるようにすることだ。 近年は、悪意あるハッカーがソフトウェアに不正なコードを挿入する事例が非常に多くみられる。一部のオープンソースコードリポジトリー、たとえば人気の「

                                      「XZ Utils」のバックドア問題--オープンソースのセキュリティを考える
                                    • Linux環境で使用されている圧縮ツール「XZ Utils」のバックドアはどのように埋め込まれるのかをセキュリティ企業のカスペルスキーが解説

                                      2024年3月29日に発覚した「XZ Utils」というライブラリへ仕掛けられていたバックドアについて、ロシアのセキュリティ企業であるカスペルスキーが分析記事を投稿しました。 Kaspersky analysis of the backdoor in XZ | Securelist https://securelist.com/xz-backdoor-story-part-1/112354/ XZは多くのLinuxディストリビューションで使用されている圧縮ツールで、今回は特にOpenSSHのサーバープロセスである「sshd」をターゲットに攻撃が行われました。「Ubuntu」「Debian」「RedHat/Fedora」などのディストリビューションではsshdの起動時に「systemd」経由でXZが呼び出され、sshdにリモートでコードが実行できるバックドアが仕掛けられます。 今回のバックド

                                        Linux環境で使用されている圧縮ツール「XZ Utils」のバックドアはどのように埋め込まれるのかをセキュリティ企業のカスペルスキーが解説
                                      • XZ Utils backdoor

                                        This page will get updated as I learn more about the incident. CVE-2024-3094 XZ Utils 5.6.0 and 5.6.1 release tarballs contain a backdoor. These tarballs were created and signed by Jia Tan. Tarballs created by Jia Tan were signed by him. Any tarballs signed by me were created by me. GitHub accounts of both me (Larhzu) and Jia Tan were suspended. Mine was reinstated on 2024-04-02. Only I have had a

                                        • 川尻こだま on Twitter: "効きが遅い https://t.co/xZ4jAfzsKA"

                                          効きが遅い https://t.co/xZ4jAfzsKA

                                            川尻こだま on Twitter: "効きが遅い https://t.co/xZ4jAfzsKA"
                                          • Debianプロジェクト、バックドアが発見されたXZを悪意の改変を含まない過去のバージョンまで戻すことを検討 | ソフトアンテナ

                                            2024年3月29日、圧縮ユーティリティ「xz-utils」にバックドアが発見されました。 xz-utilsはLinuxやmacOSで使われていて、バックドアがどのように利用されるのか詳細はまだ分析されている途中ですが、sshの認証システムに関連し、非常に重大なセキュリティ問題を引き起こすものだととらえられています。 現在、影響を受けるシステムでは、問題が発見されたバージョンxz 5.6.0/5.6.1を古いバージョンに戻したり、緊急パッチをリリースして対策が行われているようですが、より長期的には根本的な対策が必要となるのかもしれません。 例えば、Linuxディストリビューションの一つであるDebianプロジェクトは、悪意のコミッターが行ったxzへの変更を完全に含まない古いバージョンまで戻すことを検討しているようです。 この情報によると、バックドアを追加したとされるxzのメンテナJia T

                                              Debianプロジェクト、バックドアが発見されたXZを悪意の改変を含まない過去のバージョンまで戻すことを検討 | ソフトアンテナ
                                            • 山口智美 on Twitter: "「慎吾ママ」が1998~02年だったなら、企画が通ったのはバックラッシュが激しくなる前だ。「今みたいに、ジェンダーフリーという言葉は頭の中にありませんでした」と放送作家の人はいうが、行政が「ジェンダーフリー」を盛大に奨励してた時代… https://t.co/XZ2Vi8H0y6"

                                              「慎吾ママ」が1998~02年だったなら、企画が通ったのはバックラッシュが激しくなる前だ。「今みたいに、ジェンダーフリーという言葉は頭の中にありませんでした」と放送作家の人はいうが、行政が「ジェンダーフリー」を盛大に奨励してた時代… https://t.co/XZ2Vi8H0y6

                                                山口智美 on Twitter: "「慎吾ママ」が1998~02年だったなら、企画が通ったのはバックラッシュが激しくなる前だ。「今みたいに、ジェンダーフリーという言葉は頭の中にありませんでした」と放送作家の人はいうが、行政が「ジェンダーフリー」を盛大に奨励してた時代… https://t.co/XZ2Vi8H0y6"
                                              • xz/liblzma: Bash-stage Obfuscation Explained

                                                Links / Blogs → dragonsector.pl → vexillium.org Security/Hacking: j00ru's blog lcamtuf's blog invisible things (new) invisible things (old) liveoverflow's site /dev/null's site pi3's blog icewall's blog taviso's blog pawel's blog sandeep's blog koto's blog carstein's blog zaufana trzecia strona niebezpiecznik sekurak Reverse Eng./Low-Level: rewolf's blog gdtr spinning mirrors security news rev3rse

                                                  xz/liblzma: Bash-stage Obfuscation Explained
                                                • 「XZ Utils」に仕掛けられたサイバー攻撃と同様のものが他のプロジェクトにも仕掛けられているとOpenSSFが警告

                                                  2024年4月、Linuxディストリビューションに組み込まれている圧縮ツール「XZ Utils」に悪意あるバックドアが仕掛けられていたことが発覚した一件で、オープンソースの脆弱(ぜいじゃく)性監視を行っているOpen Source Security(OpenSSF)とJavaScriptのエコシステムに支援を行っているOpenJS Foundationは、今回の一件は単独の事象ではなく、他のオープンソースプロジェクトも標的となった広範な攻撃の一部である可能性を指摘し、警戒を呼びかけています。 Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects – Open Source Security Found

                                                    「XZ Utils」に仕掛けられたサイバー攻撃と同様のものが他のプロジェクトにも仕掛けられているとOpenSSFが警告
                                                  • Ubuntu 24.04 LTS(noble)の開発 / xz-utils問題(CVE-2024-3094)への対応のためのベータ延期とMilk-Vサポート | gihyo.jp

                                                    Ubuntu Weekly Topics Ubuntu 24.04 LTS(noble)の開発 / xz-utils問題(CVE-2024-3094)への対応のためのベータ延期とMilk-Vサポート noble(Ubuntu 24.04 LTS)の開発 / xz-utils問題(CVE-2024-3094)への対応のためのベータ延期とMilk-Vサポート 3月末、Linux界隈に「xz-utils(xz/liblzma)にバックドアが仕込まれている」という衝撃的なニュースが駆け巡りました。CVE-2024-3094として識別されるこの問題は、「⁠xz/liblzmaのtarballに、悪意あるバックドアを仕込む細工が行われていた」というものです。 この問題への対応として、Ubuntuではnobleのベータリリースを一週間遅らせ、(⁠問題のあるxz-utilsのコードを除外することはもちろん

                                                      Ubuntu 24.04 LTS(noble)の開発 / xz-utils問題(CVE-2024-3094)への対応のためのベータ延期とMilk-Vサポート | gihyo.jp
                                                    • XZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起。OpenSSFとOpenJS Foundationsが共同で

                                                      XZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起。OpenSSFとOpenJS Foundationsが共同で Open Source Security(OpenSSF)とOpen JS Foundationは、先日発生したXZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起を行っています。 注意喚起の中では、オープンソースプロジェクトの乗っ取りをはかる動きは現在もいくつかのプロジェクトで起きつつある可能性があることが示され、ソーシャルエンジニアリングによる乗っ取りを防ぐためのガイドラインが紹介されています。 XZ Utilsのようなプロジェクトの乗っ取りはいまも起きている XZ Utilsのインシデントでは、正体不明の人物がメンテナとしてプロ

                                                        XZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起。OpenSSFとOpenJS Foundationsが共同で
                                                      • 岩田健太郎 K Iwata, MD, MSc, PhD, FACP, FIDSA, CIC, CTH on Twitter: "私権の制約??なぜ真逆のメッセージを。PCRやるなといいながら無駄なPCRやってみたり、同時に真逆のコメントでる事例多すぎ。とにかくメッセージのハーモナイゼーションが全然できてない。みんなめっちゃ困るでしょ。 https://t.co/XZ3QfyURSl"

                                                        私権の制約??なぜ真逆のメッセージを。PCRやるなといいながら無駄なPCRやってみたり、同時に真逆のコメントでる事例多すぎ。とにかくメッセージのハーモナイゼーションが全然できてない。みんなめっちゃ困るでしょ。 https://t.co/XZ3QfyURSl

                                                          岩田健太郎 K Iwata, MD, MSc, PhD, FACP, FIDSA, CIC, CTH on Twitter: "私権の制約??なぜ真逆のメッセージを。PCRやるなといいながら無駄なPCRやってみたり、同時に真逆のコメントでる事例多すぎ。とにかくメッセージのハーモナイゼーションが全然できてない。みんなめっちゃ困るでしょ。 https://t.co/XZ3QfyURSl"
                                                        • research!rsc: The xz attack shell script

                                                          Posted on Tuesday, April 2, 2024. Updated Wednesday, April 3, 2024. Introduction Andres Freund published the existence of the xz attack on 2024-03-29 to the public oss-security@openwall mailing list. The day before, he alerted Debian security and the (private) distros@openwall list. In his mail, he says that he dug into this after “observing a few odd symptoms around liblzma (part of the xz packag

                                                          • GitHub - xz/new.css: A classless CSS framework to write modern websites using only HTML.

                                                            You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

                                                              GitHub - xz/new.css: A classless CSS framework to write modern websites using only HTML.
                                                            • Red HatやDebianなどLinuxディストリビューションの組込み圧縮ツール「XZ Utils」に悪意のあるバックドアが仕掛けられていたことが発覚

                                                              LinuxディストリビューションのDebianやRed Hatで使用されている圧縮ツールの「XZ Utils」に、悪意のあるバックドアが仕込まれていたことが明らかになりました。 oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise https://www.openwall.com/lists/oss-security/2024/03/29/4 Backdoor found in widely used Linux utility breaks encrypted SSH connections | Ars Technica https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utili

                                                                Red HatやDebianなどLinuxディストリビューションの組込み圧縮ツール「XZ Utils」に悪意のあるバックドアが仕掛けられていたことが発覚
                                                              • Linux向け有名パッケージxzにsshバックドアできる脆弱性が埋め込まれた問題について調べる

                                                                取り急ぎの記載ですが、以下のpiyoさんの記事がかなりまとまっているのでこちらを読んでいただくのが良さそうです。 https://piyolog.hatenadiary.jp/entry/2024/04/01/035321 これはなに ここ数日インターネットで騒がれたxzのセキュリティ事案について一旦自分で調べたやつです。 ついでに、こういう件の当事者(自社製品に脆弱性が見つかったり、脆弱性を発見したり)になったときどうしよう、というところも少し調べました。 xzについて調べた内容 概要と結論 Linux向けに広く利用されていたxzにsshでバックドアできる脆弱性が埋め込まれていた 対象のバージョンはxz 5.6.0, 5.6.1 5.6.1が最新なので一般的なLinuxディストリビューションでは利用されてないっぽい RedHatの一部ディストロ以外は問題ない こちらの記事が正確 XZ U

                                                                  Linux向け有名パッケージxzにsshバックドアできる脆弱性が埋め込まれた問題について調べる
                                                                • xz Backdoor CVE-2024-3094 – Open Source Security Foundation

                                                                  By Omkhar Arasaratnam, General Manager, OpenSSF; Bennett Pursell, Ecosystem Strategist, OpenSSF; Harry Toor, Chief of Staff, OpenSSF; Christopher “CRob” Robinson, OpenSSF TAC Chair & Director of Security Communications, Intel CVE-2024-3094 documents a backdoor in the xz package. This backdoor was inserted by an actor with the intent to include an obfuscated backdoor into the software. While the mo

                                                                  • 「XZ Utils」だけが破壊工作の標的ではない可能性--オープンソース財団

                                                                    Jack Wallen (Special to ZDNET.com) 翻訳校正: 佐藤卓 吉武稔夫 (ガリレオ) 2024-04-17 09:45 「XZ Utils」のバックドア問題(CVE-2024-3094)が、単発的な出来事ではない可能性が出てきた。Open Source Security Foundation(OpenSSF)とOpenJS Foundationが共同声明で明らかにした。 XZ Utilsに関する一連の出来事をまだ知らない方は、筆者の尊敬する同僚であるSteven J. Vaughan-Nichols記者が執筆した記事「XZ Utilsのバックドア問題--オープンソースのセキュリティを考える」を読んでほしい。簡単に言えば、xzデータ圧縮ユーティリティーのメンテナーだったJia Tan氏なる人物がコードにバックドアを仕掛け、攻撃者が「Linux」を乗っ取れるようにし

                                                                      「XZ Utils」だけが破壊工作の標的ではない可能性--オープンソース財団
                                                                    • 緊急警告、圧縮ツールxzにsshdを介した不正アクセスの可能性 - 利用の中止を

                                                                      Red Hatは3月29日(米国時間)、「Urgent security alert for Fedora 41 and Fedora Rawhide users」において、圧縮ツールおよびライブラリーの「xz」から悪意のあるコードを発見したとして、注意を喚起した。このコードの影響を受けるライブラリ「liblzma」により、攻撃者はsshdを介してシステムに不正アクセスする可能性がある。 Urgent security alert for Fedora 41 and Fedora Rawhide users xzが抱える脆弱性の概要 発見された悪意のあるコードは脆弱性「CVE-2024-3094」として追跡されている。この脆弱性の影響を受けるバージョンは次のとおり。 xz バージョン5.6.0または5.6.1 脆弱性(CVE)の情報は次のとおり。 CVE-2024-3094 - XZ Ut

                                                                        緊急警告、圧縮ツールxzにsshdを介した不正アクセスの可能性 - 利用の中止を
                                                                      • 安田峰俊 12/15刊『戦狼中国の対日工作』文春新書 on X: "【告知】海外出稼ぎ案件の真相1。本日売りの週プレで詳報。ホス好き女子に迫る在日中国人闇金地下金融(全裸にマジックで個人情報を書いた写真を送らせ担保にする)は本国よりも過激で、女性に全裸土下座炒飯犬食い動画を担保に、本人証言&写真あり。海外出稼ぎ先の店舗は各国で中国人経営。そして… https://t.co/8VjD76X1xz"

                                                                        • トーバルズ氏が語った「XZ Utils」バックドア問題、AIの誇大宣伝

                                                                          Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2024-04-24 07:30 シアトル発--Linus Torvalds氏と、その良き友人でVerizonのオープンソースプログラムオフィス責任者を務めるDirk Hohndel氏が、The Linux Foundationの「Open Source Summit North America」において、「Linux」開発や関連する幅広い話題について再び意見を交わした。 両氏は対談の冒頭で、ソースコード中のタブとスペースをめぐる論争に軽く触れた。これは冗談ではなく、プログラミングの世界では重要な問題だ。ある開発者が、タブをスペース文字に置き換えて「Kconfig」パーサーがファイルを読み取れるようにしてはどうかと提案した。しかし、それは悪手だった。 Tor

                                                                            トーバルズ氏が語った「XZ Utils」バックドア問題、AIの誇大宣伝
                                                                          • 杏 on Twitter: "不眠症で通っている精神科の先生に「なぜ外に出るのが辛いのか」と聞かれて「学生街で酔った学生に容姿を点数で叫ばれる事がある」と言ったら「幻覚、幻聴」と診断され、無言で統合失調症の薬を出されていた。女性にとってはよくあることだなんて想… https://t.co/BR4HPn2xz8"

                                                                            不眠症で通っている精神科の先生に「なぜ外に出るのが辛いのか」と聞かれて「学生街で酔った学生に容姿を点数で叫ばれる事がある」と言ったら「幻覚、幻聴」と診断され、無言で統合失調症の薬を出されていた。女性にとってはよくあることだなんて想… https://t.co/BR4HPn2xz8

                                                                              杏 on Twitter: "不眠症で通っている精神科の先生に「なぜ外に出るのが辛いのか」と聞かれて「学生街で酔った学生に容姿を点数で叫ばれる事がある」と言ったら「幻覚、幻聴」と診断され、無言で統合失調症の薬を出されていた。女性にとってはよくあることだなんて想… https://t.co/BR4HPn2xz8"
                                                                            • Arch Linux - News: Now using Zstandard instead of xz for package compression

                                                                              As announced on the mailing list, on Friday, Dec 27 2019, our package compression scheme has changed from xz (.pkg.tar.xz) to zstd (.pkg.tar.zst). zstd and xz trade blows in their compression ratio. Recompressing all packages to zstd with our options yields a total ~0.8% increase in package size on all of our packages combined, but the decompression time for all packages saw a ~1300% speedup. We a

                                                                              • Xperia XZ1のセキュリティー更新が2年で終了。ファンからは嘆きの声も - すまほん!!

                                                                                Sony Mobileは、グローバル版の2018年発売のスマートフォン(Xperia XZ3 / XZ2 / XZ2 Compact / XZ2 Premium)向けに、Android 10のアップデートを配信開始しました。Android 10への更新としてはXperia 1 / 5に続くものです。これらの機種にはセキュリティパッチの配信も予定されています。 一方で2017年のモデルであるXperia XZ1、XZ Premium、XZ1 Compactがセキュリティアップデートの対象外になったことがわかりました。 現在のセキュリティー更新の対象製品は以下の通り。 XZシリーズ (XZ2, XZ2 Compact, XZ2 Premium, XZ3) XAシリーズ (XA2, XA2 Ultra, XA2 Plus) Lシリーズ (L2, L3) Xperia 8, 5, 1, 10, 1

                                                                                  Xperia XZ1のセキュリティー更新が2年で終了。ファンからは嘆きの声も - すまほん!!
                                                                                • 元・音楽堂書店のアカウント on Twitter: "少女・女性向けアニメを見た女性が率直な感想述べただけなのだが、それを「考え直せ」と言う男性視点について考え直した方が良いと思うな。 https://t.co/Xz1WONLjyb"

                                                                                  少女・女性向けアニメを見た女性が率直な感想述べただけなのだが、それを「考え直せ」と言う男性視点について考え直した方が良いと思うな。 https://t.co/Xz1WONLjyb

                                                                                    元・音楽堂書店のアカウント on Twitter: "少女・女性向けアニメを見た女性が率直な感想述べただけなのだが、それを「考え直せ」と言う男性視点について考え直した方が良いと思うな。 https://t.co/Xz1WONLjyb"

                                                                                  新着記事