Debian GNU/Linux スレッド Ver.99
■ このスレッドは過去ログ倉庫に格納されています
今のところ判明している事実では違う
未知のバックドアがあることは否定しない >>572
ちょっと調べてみたけどイスラエルはそういうことやる国らしいな…
国をあげてゴリゴリのハッキングのプロ集団を育成とかしてるらしい
もちろん諜報機関の一角として ちょっと調べるまでもなく敵国に囲まれていればあたりまえ囲まれていなくてもあたりまえ そも建国の経緯が権利を取り戻すため、つまり敵がいるから出来た国とも言える
大昔のことなんか知らんがな。失効失効
この件に関してだけはアラブの肩持つよ俺は debianを知っているということは少しは高等教育なり知的職業に携わる人物かと思っていたが…
ソースコードと同じように新聞も読まんと… >>572
夜型の中国人だろ
Firewall−1擁するイスラエルにしては拙速すぎる まぁネットの通信とくに国際間はUSAを経由しているからね
スノーデンさんの告発によるまでもなく でも今回のはきちんとコード確認してるのかな?って確認してただけだったりしてね
そろそろばれるかな?しつこくプッシュしてたらばれるかな?ってやってたけど
誰も気付いてくれなかったからこのままだと大ごとになるからその前に自らばらしただけだったりして >>586
中国だとやれって言われたらやらないと国家反逆罪
仕方ないからやったけど最後はバレるようにやったとか 犯人はイスラエル人
という説が出たら、急にスレが荒れだした。
答え合わせ終了だな。
イスラエル人も案外まぬけだ なんとかして人のせいにする無駄な努力と厚顔無恥さは大小朝鮮の特徴
これだけでは断定できない 犯人はまだ不明でも、犯人が何を考えていたかは手口が語ってる
sshという強固でクリティカルな標的を落とすため、人の目が少ないxzを選んで、裏口から本丸を目指している
xz以外にも同じような半放置状態のプロジェクトが複数、犯人の攻略対象リストに上がっているとみていい
本丸に通じる裏道を作ってしまっていたsystemdの罪は重い こういうことってこれからは頻発するんかね
困るんですけど >>594
今までもあったけれど広く知れ渡らなかっただけ 昔からバックドアは作られ続けてたけど、今回は仕込みの時点で一般人にバレたケースってことじゃね?
DARPAからOpenBSDが補助金もらってたり、openssh は時々バックドア見つかったり。
https://ascii.jp/elem/000/001/805/1805397/ ググれば判るけどバックドア作りの名人と言えばCIA
もちろん世界中の諜報機関が当たり前にやってる事なんだろな
俺がその役割の組織に所属してたら当たり前に同じような事をしてると思う
まだバレてないだけで結構な数のバックドア付きのオープンソースコード()製品は多数あるだろ Flatpakも検証付いてないのは絶対に入れないほうがいいよ
有名なソフトでみんな使ってるから誰かが全て中身を確認し精査してるなんて勘違いはしない方がいい
マジな話で >>593
systemd?
>>595
GNU? バックドアがほぼ絶対に近いほど無いと言えるシステムってなんかあるのん? systemdがxz(liblzma)に依存していて
一部のディストリではopensshをlibsystemdに依存させるアンオフィシャルな改造が入ってるので
それを利用してliblzmaに埋め込まれた不正なコードがsshdに干渉できるようになっている ネオナチlinuxの ubuntu (バックドアいっぱい)は基本無傷なんだから
犯人の政治的傾向は明白w >>597
全然違う
その記事はopensshが落とされたとは書いてない
>>602
こういう手口でしか攻略できなかった事が、逆にopensshのコードと開発体制の堅牢さの証明になってるな
systemdの危険性は警告されてたんだから、Debianにsystemdを採用した連中はDevuan勢に謝るべき
一番悪いのはRedHatだが >>602
ロギングで圧縮と暗号化がサポートされてるから
lzmaやgcryptが必要になるんだな https://gigazine.net/news/20240403-timeline-of-xz-open-source-attack/
2024年3月29日に、圧縮ツールの「XZ Utils」に、悪意のあるバックドアが仕込まれていたことが明らかになりました。どのようにバックドアが仕掛けられたのかについて、Googleのエンジニアであるラス・コックスさんが時系列順にまとめました。 >>612
Russ Coxさんこんなことしてるのね >>612
1.メンテナが鬱っぽいOSSプロジェクトを探す
2.善良なコントリビュータのふりをして潜り込む
3.時間をかけて信頼を得る
4.自作自演で複数垢から「あいつのパッチ早く取り込めよ」とメンテナに圧をかける
5.圧をかけられた鬱病メンテナは潜り込んだ人物を共同メンテナに指名
6.満を持してバックドアを仕込む
これ国家に支援された組織がやってるだろ 次からはもっと手口洗練させるだろうし
バックドアももっとバレにくいの入れるだろうし
こんな攻撃ガンガンやられたら世界中のOSSプロジェクト崩壊するわ めんどくさいけどDebian Developerの選考手続きが正義なのかな
あれでもガチの悪意ある人間は弾けないだろうが >>506
自己解決した。
過去スレなんか探しても見つからなかった。
やったのは、phpの古いやつを削除して、phpモジュールを一つづつ更新したらでなくなった。 狙われたのはあるプロジェクト単体ではなく、Linux生態系の脆弱性
コンドームもしないでやりまくるフリーセックス野郎が被害を深刻化させてる 結局ubuntu proとか入っとけば安心なの?
落ちてきたもの入れてるだけの自分にはどうしようもないな >>618
実際ホモ多いしやっぱそういうとこなんだろうな >>619
一般利用者の今回の教訓は
開発リリースを使うな
デストリは慎重に選べ
過去にOpenSSLでもあったことで
特段大騒ぎするようなことでもない >>618
バックドアを発見できたのもオープンソースの利点
企業内のソフトだと一生気付かれないよ "Given enough eyeballs, all bugs are shallow"
-- Eric Steven Raymond オープンソースだからこそ仕込めたバックドアを
オープンソースだから発見できたとドヤる
まさにマッチポンプ 人間ってやつは欲望ってもんに翻弄される欠陥経済動物なんだからしょうがあるめえ 最近のWindowsにはOpenSSHもtarもcurlもその他諸々入ってるが、それは検証されてるのか? 一匹みつかれば100匹はいるみたいに、
このバグは運良く見つかっただけで
他にも凶悪な改悪がいろんな所に潜んでそうな気がする。 >>626
OpenSSHは直接関係ない
systemdのnd-notify対応で
libsystemdをリンクしたからまずかった
Windowsの場合MS提供の公式OpenSSLを使うから
systemd対応してない
WSL2上のOpenSSL使ってる奇特な人は
選んでるデストリ次第では影響が出る可能性ある >>628
それはこれまでも同じだ
>>624みたいなこと言う人も前からいる
童貞みたいなこと言うのは辞めるんだ AIでLinuxカーネルやgccを生成できない
それだけの能力 オープンソースと言っても全ての行を読んでる人なんて稀…というかいるのか?ってレベルだから
ましてやアプデの度に全ての行を読むなんて事に膨大な時間を使う奇特な奴はいないからね
そもそもGitHubのソースからビルド出来ない『再現可能ではない』人気アプリが余りにも多すぎて、オープンソースコードってものを誤解しまくってる人が多いなぁって思ってる
98%オープンソースソースだけどちょっとクローズドな部分もあります😆ってのも多すぎるけど、それは俺からしたらクローズドと何も変わらない >>633
最初の二行
そんなこと馬鹿げたこと言ってる人いるんだな >>635
最初はフルオープンソースだけど人気が出て広まり始めたら一部だけをクローズドにするアプリって結構あるぞ
けど大体の人はそういうの気にしてないから誰も何も言わないパターン多い
特にウォレットアプリなんてそのパターンは見飽きるほどに見飽きた >>636
>>633の後半についてはさほど異議はない
最後の1行がやや二極論過ぎないかと思うが ソースに目を通して全てを確認してから自分でビルドして…なんて時間かかりすぎて現実的ではないから俺も妥協しちゃうけどね 一部がクローズドってことは特定の環境でしか動かないってことだからなあ 末端は降りてきたものを入れるだけだからメンテナーさん頑張ってねとしか言いようがない >>637はビルドするときに全リンクライブラリのソースも読んでいるのか?すごいな >>643
皮肉だよ どうせ読んでいないよね?というか読めないよね
>>633が書いているように事実上クローズドとたいして変わらないけどな
開発側にやや恩恵があるくらいだよ >>639
動くにはどれも問題なく動くよ
ブラウザとかでもオープンソース歌ってるけど、よく調べたら一部分だけクローズドですってのもあるじゃん
あーいうの卑怯だなっていつも思う
ならオープンソース(一部だけクローズド)ってちゃんと書いとけと言いたいね
というかオープンソース名乗るなと 全部でなければその一部にバックドアなりマルウェアなり仕込めるからね >>646
バイナリでしか提供されない部分があるということは
バイナリが提供されるOSやアーキテクチャでしか動かないだろ >>629
systemdがないことがWindowsのメリットだな ttps://cyberplace.social/@GossiTheDog/112208807973499815
Windowsに含まれるtar.exeがJirのコミットが含まれるバージョンで話題になってる
あと最近エクスプローラが.tar.xzの解凍をサポートしたのでそっちでもなんかあるかも >>652
糞ジャップだまれ
お前は地獄落ちが決定済み 例の一件でsidからstableに数年ぶりに戻ったが、どういうわけか余程不安定だ
Thunarが落ちまくって用事にならない うちのThunarはなんとも無いけどねぇ
Dolphinとか使ってみたら? DolphinはKDEと連携し過ぎてるから、他のDEで使うならnemoのほうがおすすめ 別に試す気は無いがCinnamonのNemoとMATEのCajaってどう違うんだろ? あまり違わんけど、CinnamonのxappシリーズはDE依存してないので他のDEから安心して使える ……今apt showしたらlibcinnamon-desktop4に依存してたのでちょっと過言だったかも
でもUbuntu Unityのファイルマネージャにnemoが採用されてしまうぐらいには依存が薄いよ >Thunarが落ちまくって用事にならない
うちのDebian12は何も問題が無い
ファイルマネージャー変えてそのまま使い続けるのは、やめたほうが良いと思う 記憶デバイスとかメモリとか壊れてんだろう
よくあること pcmanfmの名が挙がらないのカワイソス…
俺はターミナル内でrangerだな。全然使いこなしてないけど どうやって戻したのかわからないけどsidのライブラリが残ってるとか設定が.conigやら.localに残ってるとか。 ずっとWorkerを使ってるけど何だかあまり話を聞かないね。 えらいスレ伸びてるな
>>599
flatpakはyamlにどこからダウンロードしたものをどういうふうにビルドするのか全部テキストで書いてあるだろ
それをflathub公式のビルドサーバーがビルドするのだからビルドサーバーさえ無事なら安全だ xzの話でスレ来たんだけどぎがじん見たらdebianのビルドサーバー30日に再構築したって話あったんだけど
stable用のビルドサーバーはsid使ってるの?
stable(bookworm)のバイナリに変なもの混じってたり署名流出したりしてないのこれ??
ツイッターみたいなのでdebian開発者が大丈夫だって言ってたけどそもそも通しちゃってるし再構築の理由も大丈夫判断の根拠も何も返信しないから不安
あれだけ枯れたバージョンは最高って言ってる奴らなのに開発サーバーも自分使ってるのもsidなんだね >>655
ファイラーはpcmanfm-qt、プロセスビューアーはqps、テキストエディタはKate、画像ビューアーはMComix、スマホ転送はKDE Connect
これでWinより快適
とくにKateは設定次第で化ける ゲームはHeroic Games Launcherがいいぞ flatpakでもHeroic Games LauncherとLutrisとWine bottlerはなんか怪しいな
起動時に更新勝手にダウンロードしてる
権限強いし悪意あればなんでもできそう
なんかロシアっぽいし >>669
sidだって書いてあったの?
xz5.4も避けただけじゃないの? >>673
再構築したビルドサーバーのこと?
わざわざ再構築するんだからsidか次期バージョン(名前知らない)でしょう。混入したのはbookwormより上のバージョンだけなんだから >>670
環境を作ることが趣味なのかな。ま、否定はしないけど。 >>675
KDE純正の抱き合わせソフトってほんとひどいでしょ。抱き合わせで削除できないし(おまえはIEか)
システムモニター?なんか買ったばかりの最新パソコンでも起動に20秒くらいかかるよ(qpsなら一瞬)
ファイラーもめちゃくちゃ遅い KDE抱き合わせソフトは確かに邪魔だな
kde-plasma-desktopだけインストールしてもkde-baseappsがついてくる >>676
だkら
kdeを使う上で、debianは最もおすすめできないディストリなんですよ
私は、debianが嫌いなのではなくて、debianでkde使おうとして
がっかりする人が可愛そうだから言っています
debianユーザーが触っているのは、何年もまえのバージョンで
不具合修正パッチも適用されてないものです ■ このスレッドは過去ログ倉庫に格納されています