Debian GNU/Linux スレッド Ver.99
Desktop Icon NG (DING)を導入して
Gnomeのデスクトップにアイコンおけるけど
HOMEやゴミ箱はデスクトップで出てるけどアプリのアイコンも置けるの?置き方がわからんかった ~/Desktopにアプリの.desktopファイルを置く 古いPCにbookworm新規インストールしたら色々酷い
libreoffice-writerで日本語打ったら100%即フリーズ
原因はデフォルトでuim-mozcがインストールされるから。削除してfcitx5-mozcを入れると解決するけど日本人メンテナサボりすぎ
その後も縦書きと横書き混在の表作ろうとしたら無理だった
縦書きにした瞬間表の列と行が逆になる(列幅が行幅になる)とか・・・
横書き挿入するためにテキストボックスいれるとたぶん内部でx,yが逆とかぐちゃぐちゃに計算してるせいでドラッグするととんでもない位置に飛んでくからもう完全に無理
ijが下切れて判別できないとかフォント周りがWindows98以下 xzいまさら書きこんでも遅いけどdebianはsid以外はxzの問題関係ないよ
xzバージョン古いから安全。bookwormとか関係ない そういえばカーネルをbookworm-backportsの6.6.13に上げたら激安定した
bookwormの6.1系はよく1時間くらいPC放置するとカーネルパニック永遠にでてフリーズとか頻発してたけど完全に治った
6.1系は1週間に5回はフリーズしてたのに6.6系は1ヶ月フリーズ0回 >>530
海外サイト確認したらsidに加えてtestingも
問題の影響受けるみたいだった、一応書いとくと >>347
AMDは知らないけどnvidiaはorg.freedesktop.Platform.GL.nvidia-今使ってるドライバーのバージョンが正しくインストールされている必要があるよ
dpkgのnvidiaのドライバーと上のパッケージのドライバーのバージョンが合っていないとGPUが一切使われずmesaのソフトウェアエミュレーションで動くから遅くなったりクラッシュしたりする
nouveauは知らない。クローズドソース版の話ね
※この前新規でbookwormいれたときnouveau使ったけどログイン画面でるのに10分かかるわ(tty切り替えるとエラー連発)ログイン画面が完全にぶっ壊れて停波中のアナログテレビ画面に砂嵐でるわで最悪だった 古いGeforceにnvidiaのクローズドソースのドライバー(340系)いれるにはsidからパッケージ拾ってこれば入る
bookwormは無いからsidのnvidia-graphics-drivers-legacy-340xxディレクトリからdebダウンロードしてきて直接いれるとbookwormでも動く
nvidia公式の.run走らせるとぶっ壊れてsddmが起動しなくなるのでかなり注意
まれにゲームなどでXのディスプレイが検出できなくなるけど普通に使える。使えないソフトは使えない。たぶん340系と470系のパッケージ混在でlibglxとかなにかが壊れる ↑flatpak版があるならflatpak版をいれるとそちらだけGPUアクセラレーションが効いて回避できる sidなので思いっきりくらってるぽいが、aptやらが絡んでて単純に削除できんね
dpkgで強制的に削除したあとに、以前のversionの物をsnapshotから持ってくればいいんかな
もれなくシステム飛ばしそうな気がするぜ
liblzma5: Installed: 5.6.1+really5.4.5-1 そもそもsshがliblzmaなんかにリンクしてなければやられなかった
誰だよ最初にリンクさせたやつ どんな設計だったら、今回の被害は少なく出来たか教えてちょ。
というか、次は glibc が狙われたら逃げられないね。 Debian や他のいくつかのディストリビューションは、systemd 通知をサポートするために openssh にパッチを当てており、libsystemd は lzma に依存しています
Arch Linux は openssh を直接的に liblzma にリンクしていないため、この攻撃ベクトルは存在しません この問題ってsidだけ?
stable使ってる人は心配無用なの?
教えてデビアソマーソ やっちまったぜ dpkgまで動かなくなるとは思わなかった
deb落として来ても解凍出来ないので_
新年度になったし掃除を兼ねて再インスコするわ
sidに移行する前にholdしないとまたハマる >>545
arが動けば解凍は出来るよ
ar vx なんとか.deb で中身は{data,control}.tar.xzね 2024年3月29日、圧縮ユーティリティ「xz-utils」にバックドアが発見されました。
xz-utilsはLinuxやmacOSで使われていて、バックドアがどのように利用されるのか詳細はまだ分析されている途中ですが、sshの認証システムに関連し、非常に重大なセキュリティ問題を引き起こすものだととらえられています。
現在、影響を受けるシステムでは、問題が発見されたバージョンxz 5.6.0/5.6.1を古いバージョンに戻したり、緊急パッチをリリースして対策が行われているようですが、より長期的には根本的な対策が必要となるのかもしれません。
例えば、Linuxディストリビューションの一つであるDebianプロジェクトは、悪意のコミッターが行ったxzへの変更を完全に含まない古いバージョンまで戻すことを検討しているようです。
この情報によると、バックドアを追加したとされるxzのメンテナJia Tan氏のコミットは最低でも750回を数え、バックドアが追加されたバージョンを元に戻すだけでは、他のバックドアが隠されていないかを保証するには不十分であるとのこと。バックドアが含まれていない直近の5.4.5にも同氏による多数のコミットが含まれているため、関与が行われていない5.3.1へ戻したほうが良いとの提案が行われています。
ただし、古いバージョンへ戻すと、xz-utils自体の機能が以前のものに戻ってしまうのに加え、dpkg、erofs-utils、kmodなど重要なパッケージが動かなくなってしまうため、ダウングレードは慎重に行う必要があるとのこと。
「FAQ on the xz-utils backdoor」によると、xz-utilsには2人のメンテナが存在し、渦中のJia Tan(JiaT75)氏はここ2年の間にxzに貢献し始め、1.5年ほど前にコミットアクセス権や、リリースマネージャの権利を獲得しています。一方、もう一人のLasse Collin (Larhzu)氏はxzの初期(2009年から)からのメンテナで、https://tukaani.org/xz-backdoor/ に最新情報を掲載し、コミュニティと協力しています。
なお、XZにしかけられたバックドアは認証をバイパスするものではなく、リモートコード実行を可能にするより悪質なものではないかとの調査も行われているようです。 さんきゅ
ソースはこれか https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1068024
取り敢えず関与がないと言われているversionまで戻すことにした
ここまで下がるとsidだけの問題で済むのかな 以前の大丈夫だと思われるiso落としてきて、そこから最小インスコ後にholdして
sidに移行しようとしたが、grubやらefi関係のパッケージを削除してしまうので
secure bootで躓くことになる
上のサイトで言われている様に一筋縄ではいかないね
俺の頭では無理ゲーだわ
後にsidに戻る事を考えるとこのまま11のstableで運用したくはないのに、その時また新規でインストールしかないかな WindowsのKB5034441とあわせて
クリーンインストールを推奨されたい う?
これ、いつのバージョンまで遡ればよいの?
isoだとどれをインストールしたら良いですか
バックドア怖いなあ https://piyolog.hatenadiary.jp/entry/2024/04/01/035321
これみると、つぎのものが駄目ということか
Debian 2024年2月1日に公開された検証(unstable)バージョン(5.5.1alpha-0.1以降5.6.1-1を含む)
通常バージョンの最新版ならok? 大した理由もなくDebianでTestingやSidを使う意味が全くわからない
余程のワケでもない限りstableでいいんよ
クリティカルなセキュリティリスクでもない限りはOSもソフトもアプデしないほうがいい
常に何でも最新にしたがる人は定期的に何かしらの不具合に悩まされて時間を無駄にするからな
壊れていないのなら直す必要はないって格言を忘れずにいたいものだな >余程のワケでもない限りstableでいい
ということを十分理解した上で、なお使いたい人が一定数いる
俺は使わないけど https://gigazine.net/news/20240401-linux-backdoor-xz-utils/
XZ Utilsの悪意のあるバージョンはLinuxの製品版に追加される前に発見されたため、「現実世界のだれにも実際には影響を与えていない」とセキュリティ企業Analygenceの上級脆弱性アナリストのエイル・ドーマン氏は指摘しています。
ただし、ドーマン氏によると「しかし、それは単に攻撃者の不手際により早期発見されただけなので、もしもこれが発見されていなければ世界は大参事に陥っていたことでしょう」とのことです。
バックドアにはXZ Utilsの開発者が関与している可能性を指摘していました。
XZ Utilsのメンターとして開発プロジェクトに積極的に参加することで周囲の信頼を獲得していき、最終的にGitHubリポジトリでコードを直接コミットする権利を獲得したようです。
そのため、XZ UtilsのGitHubリポジトリは記事作成時点では閉鎖されています。 氷山の一角じゃねーかなー
他にもこの手のやつは入り込んでるとみた方がよさげ 昔の話だが、インターネットに接続してない所までどうやってハッキングするんだろうね。
https://business.nikkei.com/atcl/gen/19/00132/042100014/
今回のは手口が分かったけど、凡人には想像出来ない方法で色々やってそう。 まあレビューとかはあっても大半のプロジェクトが人手不足でどこも割とガバガバだからしゃーないな
今回の犯人のコミットとかももsafe_fprintf()を何故かただのfprintf()に書き換えてんのにスルーでそのまんま通ってたり
ワイも参加しはじめの頃わざとじゃないけどバグ修正でめっちゃ基本的な脆弱性含んだ変更したパッチ送っちゃったけど何も言われず即マージされちゃったりとか経験あるし >>538
> liblzma5: Installed: 5.6.1+really5.4.5-1
これってダウングレードしなくてもアップデートがかかるように
パッケージバージョン番号5.6.1に偽装した中身5.4.5じゃないのかな?
うちのtrixieはdpkg -l liblzma*で見るとそれがインストールされているけどdpkg -L liblzma5で見ると
/usr/lib/aarch64-linux-gnu/liblzma.so.5.4.5
になっている。3/28にアップデートがかかったみたい。
うちの場合はArm環境なので慌てなくても良さそうなんだけど。 Revert back to the 5.4.5-0.2 version
となってるから単に今回の対策版ですね なんだろうけど彼が関わってるversionなので不十分ではないかという議論が出てる 素人考えだけど、インジェクションだと仕込まれたのチェックするの難しいのかな?
しかし、偶然見つかったから良かったけど、場合によっては阿鼻叫喚の結末だったろうなぁ こういうのを抑止しようと思ったら刑事罰を課すのが良いのかな? 人の作った仕組みの一部を変えて、って頭いいよね。
気付かれなかったら、何処の国が利用するバックドアだったのだろう。 ソフトにバックドアを仕掛けるのは諜報機関が多いだろな
アメリカイギリスロシア中国のどっかだろ >>564
チェックされてなかった
信用されてたので
3年がかり このタイミングで動いたのはUbuntuのLTSのメジャーアプデ狙ってたんだろうな
WSLにもうまくすればMacにも影響与えることできただろうし なんか、今回仕込んだメンテナが複数のディストリに5.6採用しろって働きかけてたってどこかで読んだよ >>567
コミットログのタイムスタンプの痕跡を見るに
中国(UTC+8)からに見せかけたUTC+2/UTC+3(夏時間)エリアの人間じゃないかという分析が出てるね
該当は東欧(EET)とイスラエル・エジプト >>569
macはGPLv3排除してるのでプレインストールはされんだろ 今回のバックドアは圧縮ファイルに偽装して埋め込まれたコンパイル済みオブジェクトが実態なので
x86-64 linux以外はどうあがいても攻撃対象にならん それで思い出したがFreeBSDってLinuxバイナリ互換機能あるよな… >>575
ソースコードの時点で悪意あるコードを
追加されてると思ったんだけど違うの?? 今のところ判明している事実では違う
未知のバックドアがあることは否定しない >>572
ちょっと調べてみたけどイスラエルはそういうことやる国らしいな…
国をあげてゴリゴリのハッキングのプロ集団を育成とかしてるらしい
もちろん諜報機関の一角として ちょっと調べるまでもなく敵国に囲まれていればあたりまえ囲まれていなくてもあたりまえ そも建国の経緯が権利を取り戻すため、つまり敵がいるから出来た国とも言える
大昔のことなんか知らんがな。失効失効
この件に関してだけはアラブの肩持つよ俺は debianを知っているということは少しは高等教育なり知的職業に携わる人物かと思っていたが…
ソースコードと同じように新聞も読まんと… >>572
夜型の中国人だろ
Firewall−1擁するイスラエルにしては拙速すぎる まぁネットの通信とくに国際間はUSAを経由しているからね
スノーデンさんの告発によるまでもなく でも今回のはきちんとコード確認してるのかな?って確認してただけだったりしてね
そろそろばれるかな?しつこくプッシュしてたらばれるかな?ってやってたけど
誰も気付いてくれなかったからこのままだと大ごとになるからその前に自らばらしただけだったりして >>586
中国だとやれって言われたらやらないと国家反逆罪
仕方ないからやったけど最後はバレるようにやったとか 犯人はイスラエル人
という説が出たら、急にスレが荒れだした。
答え合わせ終了だな。
イスラエル人も案外まぬけだ なんとかして人のせいにする無駄な努力と厚顔無恥さは大小朝鮮の特徴
これだけでは断定できない 犯人はまだ不明でも、犯人が何を考えていたかは手口が語ってる
sshという強固でクリティカルな標的を落とすため、人の目が少ないxzを選んで、裏口から本丸を目指している
xz以外にも同じような半放置状態のプロジェクトが複数、犯人の攻略対象リストに上がっているとみていい
本丸に通じる裏道を作ってしまっていたsystemdの罪は重い こういうことってこれからは頻発するんかね
困るんですけど >>594
今までもあったけれど広く知れ渡らなかっただけ 昔からバックドアは作られ続けてたけど、今回は仕込みの時点で一般人にバレたケースってことじゃね?
DARPAからOpenBSDが補助金もらってたり、openssh は時々バックドア見つかったり。
https://ascii.jp/elem/000/001/805/1805397/ ググれば判るけどバックドア作りの名人と言えばCIA
もちろん世界中の諜報機関が当たり前にやってる事なんだろな
俺がその役割の組織に所属してたら当たり前に同じような事をしてると思う
まだバレてないだけで結構な数のバックドア付きのオープンソースコード()製品は多数あるだろ Flatpakも検証付いてないのは絶対に入れないほうがいいよ
有名なソフトでみんな使ってるから誰かが全て中身を確認し精査してるなんて勘違いはしない方がいい
マジな話で >>593
systemd?
>>595
GNU? バックドアがほぼ絶対に近いほど無いと言えるシステムってなんかあるのん? systemdがxz(liblzma)に依存していて
一部のディストリではopensshをlibsystemdに依存させるアンオフィシャルな改造が入ってるので
それを利用してliblzmaに埋め込まれた不正なコードがsshdに干渉できるようになっている ネオナチlinuxの ubuntu (バックドアいっぱい)は基本無傷なんだから
犯人の政治的傾向は明白w >>597
全然違う
その記事はopensshが落とされたとは書いてない
>>602
こういう手口でしか攻略できなかった事が、逆にopensshのコードと開発体制の堅牢さの証明になってるな
systemdの危険性は警告されてたんだから、Debianにsystemdを採用した連中はDevuan勢に謝るべき
一番悪いのはRedHatだが >>602
ロギングで圧縮と暗号化がサポートされてるから
lzmaやgcryptが必要になるんだな https://gigazine.net/news/20240403-timeline-of-xz-open-source-attack/
2024年3月29日に、圧縮ツールの「XZ Utils」に、悪意のあるバックドアが仕込まれていたことが明らかになりました。どのようにバックドアが仕掛けられたのかについて、Googleのエンジニアであるラス・コックスさんが時系列順にまとめました。 >>612
Russ Coxさんこんなことしてるのね >>612
1.メンテナが鬱っぽいOSSプロジェクトを探す
2.善良なコントリビュータのふりをして潜り込む
3.時間をかけて信頼を得る
4.自作自演で複数垢から「あいつのパッチ早く取り込めよ」とメンテナに圧をかける
5.圧をかけられた鬱病メンテナは潜り込んだ人物を共同メンテナに指名
6.満を持してバックドアを仕込む
これ国家に支援された組織がやってるだろ 次からはもっと手口洗練させるだろうし
バックドアももっとバレにくいの入れるだろうし
こんな攻撃ガンガンやられたら世界中のOSSプロジェクト崩壊するわ めんどくさいけどDebian Developerの選考手続きが正義なのかな
あれでもガチの悪意ある人間は弾けないだろうが >>506
自己解決した。
過去スレなんか探しても見つからなかった。
やったのは、phpの古いやつを削除して、phpモジュールを一つづつ更新したらでなくなった。 狙われたのはあるプロジェクト単体ではなく、Linux生態系の脆弱性
コンドームもしないでやりまくるフリーセックス野郎が被害を深刻化させてる 結局ubuntu proとか入っとけば安心なの?
落ちてきたもの入れてるだけの自分にはどうしようもないな >>618
実際ホモ多いしやっぱそういうとこなんだろうな >>619
一般利用者の今回の教訓は
開発リリースを使うな
デストリは慎重に選べ
過去にOpenSSLでもあったことで
特段大騒ぎするようなことでもない >>618
バックドアを発見できたのもオープンソースの利点
企業内のソフトだと一生気付かれないよ "Given enough eyeballs, all bugs are shallow"
-- Eric Steven Raymond オープンソースだからこそ仕込めたバックドアを
オープンソースだから発見できたとドヤる
まさにマッチポンプ 人間ってやつは欲望ってもんに翻弄される欠陥経済動物なんだからしょうがあるめえ 最近のWindowsにはOpenSSHもtarもcurlもその他諸々入ってるが、それは検証されてるのか?