Debian GNU/Linux スレッド Ver.99
■ このスレッドは過去ログ倉庫に格納されています
そもそもsshがliblzmaなんかにリンクしてなければやられなかった 誰だよ最初にリンクさせたやつ どんな設計だったら、今回の被害は少なく出来たか教えてちょ。 というか、次は glibc が狙われたら逃げられないね。 Debian や他のいくつかのディストリビューションは、systemd 通知をサポートするために openssh にパッチを当てており、libsystemd は lzma に依存しています Arch Linux は openssh を直接的に liblzma にリンクしていないため、この攻撃ベクトルは存在しません この問題ってsidだけ? stable使ってる人は心配無用なの? 教えてデビアソマーソ やっちまったぜ dpkgまで動かなくなるとは思わなかった deb落として来ても解凍出来ないので_ 新年度になったし掃除を兼ねて再インスコするわ sidに移行する前にholdしないとまたハマる >>545 arが動けば解凍は出来るよ ar vx なんとか.deb で中身は{data,control}.tar.xzね 2024年3月29日、圧縮ユーティリティ「xz-utils」にバックドアが発見されました。 xz-utilsはLinuxやmacOSで使われていて、バックドアがどのように利用されるのか詳細はまだ分析されている途中ですが、sshの認証システムに関連し、非常に重大なセキュリティ問題を引き起こすものだととらえられています。 現在、影響を受けるシステムでは、問題が発見されたバージョンxz 5.6.0/5.6.1を古いバージョンに戻したり、緊急パッチをリリースして対策が行われているようですが、より長期的には根本的な対策が必要となるのかもしれません。 例えば、Linuxディストリビューションの一つであるDebianプロジェクトは、悪意のコミッターが行ったxzへの変更を完全に含まない古いバージョンまで戻すことを検討しているようです。 この情報によると、バックドアを追加したとされるxzのメンテナJia Tan氏のコミットは最低でも750回を数え、バックドアが追加されたバージョンを元に戻すだけでは、他のバックドアが隠されていないかを保証するには不十分であるとのこと。バックドアが含まれていない直近の5.4.5にも同氏による多数のコミットが含まれているため、関与が行われていない5.3.1へ戻したほうが良いとの提案が行われています。 ただし、古いバージョンへ戻すと、xz-utils自体の機能が以前のものに戻ってしまうのに加え、dpkg、erofs-utils、kmodなど重要なパッケージが動かなくなってしまうため、ダウングレードは慎重に行う必要があるとのこと。 「FAQ on the xz-utils backdoor」によると、xz-utilsには2人のメンテナが存在し、渦中のJia Tan(JiaT75)氏はここ2年の間にxzに貢献し始め、1.5年ほど前にコミットアクセス権や、リリースマネージャの権利を獲得しています。一方、もう一人のLasse Collin (Larhzu)氏はxzの初期(2009年から)からのメンテナで、https://tukaani.org/xz-backdoor/ に最新情報を掲載し、コミュニティと協力しています。 なお、XZにしかけられたバックドアは認証をバイパスするものではなく、リモートコード実行を可能にするより悪質なものではないかとの調査も行われているようです。 さんきゅ ソースはこれか https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1068024 取り敢えず関与がないと言われているversionまで戻すことにした ここまで下がるとsidだけの問題で済むのかな 以前の大丈夫だと思われるiso落としてきて、そこから最小インスコ後にholdして sidに移行しようとしたが、grubやらefi関係のパッケージを削除してしまうので secure bootで躓くことになる 上のサイトで言われている様に一筋縄ではいかないね 俺の頭では無理ゲーだわ 後にsidに戻る事を考えるとこのまま11のstableで運用したくはないのに、その時また新規でインストールしかないかな WindowsのKB5034441とあわせて クリーンインストールを推奨されたい う? これ、いつのバージョンまで遡ればよいの? isoだとどれをインストールしたら良いですか バックドア怖いなあ https://piyolog.hatenadiary.jp/entry/2024/04/01/035321 これみると、つぎのものが駄目ということか Debian 2024年2月1日に公開された検証(unstable)バージョン(5.5.1alpha-0.1以降5.6.1-1を含む) 通常バージョンの最新版ならok? 大した理由もなくDebianでTestingやSidを使う意味が全くわからない 余程のワケでもない限りstableでいいんよ クリティカルなセキュリティリスクでもない限りはOSもソフトもアプデしないほうがいい 常に何でも最新にしたがる人は定期的に何かしらの不具合に悩まされて時間を無駄にするからな 壊れていないのなら直す必要はないって格言を忘れずにいたいものだな >余程のワケでもない限りstableでいい ということを十分理解した上で、なお使いたい人が一定数いる 俺は使わないけど https://gigazine.net/news/20240401-linux-backdoor-xz-utils/ XZ Utilsの悪意のあるバージョンはLinuxの製品版に追加される前に発見されたため、「現実世界のだれにも実際には影響を与えていない」とセキュリティ企業Analygenceの上級脆弱性アナリストのエイル・ドーマン氏は指摘しています。 ただし、ドーマン氏によると「しかし、それは単に攻撃者の不手際により早期発見されただけなので、もしもこれが発見されていなければ世界は大参事に陥っていたことでしょう」とのことです。 バックドアにはXZ Utilsの開発者が関与している可能性を指摘していました。 XZ Utilsのメンターとして開発プロジェクトに積極的に参加することで周囲の信頼を獲得していき、最終的にGitHubリポジトリでコードを直接コミットする権利を獲得したようです。 そのため、XZ UtilsのGitHubリポジトリは記事作成時点では閉鎖されています。 氷山の一角じゃねーかなー 他にもこの手のやつは入り込んでるとみた方がよさげ 昔の話だが、インターネットに接続してない所までどうやってハッキングするんだろうね。 https://business.nikkei.com/atcl/gen/19/00132/042100014/ 今回のは手口が分かったけど、凡人には想像出来ない方法で色々やってそう。 まあレビューとかはあっても大半のプロジェクトが人手不足でどこも割とガバガバだからしゃーないな 今回の犯人のコミットとかももsafe_fprintf()を何故かただのfprintf()に書き換えてんのにスルーでそのまんま通ってたり ワイも参加しはじめの頃わざとじゃないけどバグ修正でめっちゃ基本的な脆弱性含んだ変更したパッチ送っちゃったけど何も言われず即マージされちゃったりとか経験あるし >>538 > liblzma5: Installed: 5.6.1+really5.4.5-1 これってダウングレードしなくてもアップデートがかかるように パッケージバージョン番号5.6.1に偽装した中身5.4.5じゃないのかな? うちのtrixieはdpkg -l liblzma*で見るとそれがインストールされているけどdpkg -L liblzma5で見ると /usr/lib/aarch64-linux-gnu/liblzma.so.5.4.5 になっている。3/28にアップデートがかかったみたい。 うちの場合はArm環境なので慌てなくても良さそうなんだけど。 Revert back to the 5.4.5-0.2 version となってるから単に今回の対策版ですね なんだろうけど彼が関わってるversionなので不十分ではないかという議論が出てる 素人考えだけど、インジェクションだと仕込まれたのチェックするの難しいのかな? しかし、偶然見つかったから良かったけど、場合によっては阿鼻叫喚の結末だったろうなぁ こういうのを抑止しようと思ったら刑事罰を課すのが良いのかな? 人の作った仕組みの一部を変えて、って頭いいよね。 気付かれなかったら、何処の国が利用するバックドアだったのだろう。 ソフトにバックドアを仕掛けるのは諜報機関が多いだろな アメリカイギリスロシア中国のどっかだろ >>564 チェックされてなかった 信用されてたので 3年がかり このタイミングで動いたのはUbuntuのLTSのメジャーアプデ狙ってたんだろうな WSLにもうまくすればMacにも影響与えることできただろうし なんか、今回仕込んだメンテナが複数のディストリに5.6採用しろって働きかけてたってどこかで読んだよ >>567 コミットログのタイムスタンプの痕跡を見るに 中国(UTC+8)からに見せかけたUTC+2/UTC+3(夏時間)エリアの人間じゃないかという分析が出てるね 該当は東欧(EET)とイスラエル・エジプト >>569 macはGPLv3排除してるのでプレインストールはされんだろ 今回のバックドアは圧縮ファイルに偽装して埋め込まれたコンパイル済みオブジェクトが実態なので x86-64 linux以外はどうあがいても攻撃対象にならん それで思い出したがFreeBSDってLinuxバイナリ互換機能あるよな… >>575 ソースコードの時点で悪意あるコードを 追加されてると思ったんだけど違うの?? 今のところ判明している事実では違う 未知のバックドアがあることは否定しない >>572 ちょっと調べてみたけどイスラエルはそういうことやる国らしいな… 国をあげてゴリゴリのハッキングのプロ集団を育成とかしてるらしい もちろん諜報機関の一角として ちょっと調べるまでもなく敵国に囲まれていればあたりまえ囲まれていなくてもあたりまえ そも建国の経緯が権利を取り戻すため、つまり敵がいるから出来た国とも言える 大昔のことなんか知らんがな。失効失効 この件に関してだけはアラブの肩持つよ俺は debianを知っているということは少しは高等教育なり知的職業に携わる人物かと思っていたが… ソースコードと同じように新聞も読まんと… >>572 夜型の中国人だろ Firewall−1擁するイスラエルにしては拙速すぎる まぁネットの通信とくに国際間はUSAを経由しているからね スノーデンさんの告発によるまでもなく でも今回のはきちんとコード確認してるのかな?って確認してただけだったりしてね そろそろばれるかな?しつこくプッシュしてたらばれるかな?ってやってたけど 誰も気付いてくれなかったからこのままだと大ごとになるからその前に自らばらしただけだったりして >>586 中国だとやれって言われたらやらないと国家反逆罪 仕方ないからやったけど最後はバレるようにやったとか 犯人はイスラエル人 という説が出たら、急にスレが荒れだした。 答え合わせ終了だな。 イスラエル人も案外まぬけだ なんとかして人のせいにする無駄な努力と厚顔無恥さは大小朝鮮の特徴 これだけでは断定できない 犯人はまだ不明でも、犯人が何を考えていたかは手口が語ってる sshという強固でクリティカルな標的を落とすため、人の目が少ないxzを選んで、裏口から本丸を目指している xz以外にも同じような半放置状態のプロジェクトが複数、犯人の攻略対象リストに上がっているとみていい 本丸に通じる裏道を作ってしまっていたsystemdの罪は重い こういうことってこれからは頻発するんかね 困るんですけど >>594 今までもあったけれど広く知れ渡らなかっただけ 昔からバックドアは作られ続けてたけど、今回は仕込みの時点で一般人にバレたケースってことじゃね? DARPAからOpenBSDが補助金もらってたり、openssh は時々バックドア見つかったり。 https://ascii.jp/elem/000/001/805/1805397/ ググれば判るけどバックドア作りの名人と言えばCIA もちろん世界中の諜報機関が当たり前にやってる事なんだろな 俺がその役割の組織に所属してたら当たり前に同じような事をしてると思う まだバレてないだけで結構な数のバックドア付きのオープンソースコード()製品は多数あるだろ Flatpakも検証付いてないのは絶対に入れないほうがいいよ 有名なソフトでみんな使ってるから誰かが全て中身を確認し精査してるなんて勘違いはしない方がいい マジな話で >>593 systemd? >>595 GNU? バックドアがほぼ絶対に近いほど無いと言えるシステムってなんかあるのん? systemdがxz(liblzma)に依存していて 一部のディストリではopensshをlibsystemdに依存させるアンオフィシャルな改造が入ってるので それを利用してliblzmaに埋め込まれた不正なコードがsshdに干渉できるようになっている ネオナチlinuxの ubuntu (バックドアいっぱい)は基本無傷なんだから 犯人の政治的傾向は明白w >>597 全然違う その記事はopensshが落とされたとは書いてない >>602 こういう手口でしか攻略できなかった事が、逆にopensshのコードと開発体制の堅牢さの証明になってるな systemdの危険性は警告されてたんだから、Debianにsystemdを採用した連中はDevuan勢に謝るべき 一番悪いのはRedHatだが >>602 ロギングで圧縮と暗号化がサポートされてるから lzmaやgcryptが必要になるんだな https://gigazine.net/news/20240403-timeline-of-xz-open-source-attack/ 2024年3月29日に、圧縮ツールの「XZ Utils」に、悪意のあるバックドアが仕込まれていたことが明らかになりました。どのようにバックドアが仕掛けられたのかについて、Googleのエンジニアであるラス・コックスさんが時系列順にまとめました。 >>612 Russ Coxさんこんなことしてるのね >>612 1.メンテナが鬱っぽいOSSプロジェクトを探す 2.善良なコントリビュータのふりをして潜り込む 3.時間をかけて信頼を得る 4.自作自演で複数垢から「あいつのパッチ早く取り込めよ」とメンテナに圧をかける 5.圧をかけられた鬱病メンテナは潜り込んだ人物を共同メンテナに指名 6.満を持してバックドアを仕込む これ国家に支援された組織がやってるだろ 次からはもっと手口洗練させるだろうし バックドアももっとバレにくいの入れるだろうし こんな攻撃ガンガンやられたら世界中のOSSプロジェクト崩壊するわ めんどくさいけどDebian Developerの選考手続きが正義なのかな あれでもガチの悪意ある人間は弾けないだろうが >>506 自己解決した。 過去スレなんか探しても見つからなかった。 やったのは、phpの古いやつを削除して、phpモジュールを一つづつ更新したらでなくなった。 狙われたのはあるプロジェクト単体ではなく、Linux生態系の脆弱性 コンドームもしないでやりまくるフリーセックス野郎が被害を深刻化させてる 結局ubuntu proとか入っとけば安心なの? 落ちてきたもの入れてるだけの自分にはどうしようもないな >>618 実際ホモ多いしやっぱそういうとこなんだろうな >>619 一般利用者の今回の教訓は 開発リリースを使うな デストリは慎重に選べ 過去にOpenSSLでもあったことで 特段大騒ぎするようなことでもない >>618 バックドアを発見できたのもオープンソースの利点 企業内のソフトだと一生気付かれないよ "Given enough eyeballs, all bugs are shallow" -- Eric Steven Raymond オープンソースだからこそ仕込めたバックドアを オープンソースだから発見できたとドヤる まさにマッチポンプ 人間ってやつは欲望ってもんに翻弄される欠陥経済動物なんだからしょうがあるめえ 最近のWindowsにはOpenSSHもtarもcurlもその他諸々入ってるが、それは検証されてるのか? 一匹みつかれば100匹はいるみたいに、 このバグは運良く見つかっただけで 他にも凶悪な改悪がいろんな所に潜んでそうな気がする。 >>626 OpenSSHは直接関係ない systemdのnd-notify対応で libsystemdをリンクしたからまずかった Windowsの場合MS提供の公式OpenSSLを使うから systemd対応してない WSL2上のOpenSSL使ってる奇特な人は 選んでるデストリ次第では影響が出る可能性ある >>628 それはこれまでも同じだ >>624 みたいなこと言う人も前からいる 童貞みたいなこと言うのは辞めるんだ AIでLinuxカーネルやgccを生成できない それだけの能力 オープンソースと言っても全ての行を読んでる人なんて稀…というかいるのか?ってレベルだから ましてやアプデの度に全ての行を読むなんて事に膨大な時間を使う奇特な奴はいないからね そもそもGitHubのソースからビルド出来ない『再現可能ではない』人気アプリが余りにも多すぎて、オープンソースコードってものを誤解しまくってる人が多いなぁって思ってる 98%オープンソースソースだけどちょっとクローズドな部分もあります😆ってのも多すぎるけど、それは俺からしたらクローズドと何も変わらない >>633 最初の二行 そんなこと馬鹿げたこと言ってる人いるんだな >>635 最初はフルオープンソースだけど人気が出て広まり始めたら一部だけをクローズドにするアプリって結構あるぞ けど大体の人はそういうの気にしてないから誰も何も言わないパターン多い 特にウォレットアプリなんてそのパターンは見飽きるほどに見飽きた >>636 >>633 の後半についてはさほど異議はない 最後の1行がやや二極論過ぎないかと思うが ソースに目を通して全てを確認してから自分でビルドして…なんて時間かかりすぎて現実的ではないから俺も妥協しちゃうけどね ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる