「XZ Utils」だけが破壊工作の標的ではない可能性--オープンソース財団

Jack Wallen （Special to ZDNET.com） 翻訳校正： 佐藤卓 吉武稔夫 （ガリレオ） 2024-04-17 09:45 「XZ Utils」のバックドア問題（CVE-2024-3094）が、単発的な出来事ではない可能性が出てきた。Open Source Security Foundation（OpenSSF）とOpenJS Foundationが共同声明で明らかにした。 XZ Utilsに関する一連の出来事をまだ知らない方は、筆者の尊敬する同僚であるSteven J. Vaughan-Nichols記者が執筆した記事「XZ Utilsのバックドア問題--オープンソースのセキュリティを考える」を読んでほしい。簡単に言えば、xzデータ圧縮ユーティリティーのメンテナーだったJia Tan氏なる人物がコードにバックドアを仕掛け、攻撃者が「Linux」を乗っ取れるようにし

[ysync]

重要な部分がやばいということに異論は無いけど、カーネルが直接呼ぶコードなら担当がどこであれ権限昇格が出来てしまうのでな。XZはsshdというメンテ時ならどこ触っててもおかしくなくログでわかりにくいトコを

[toaruR]

アーカイバやファイルシステムは標的にされやすいだろうね

[defiant]

この記事をおすすめしました

[karkwind]

まぁ善意の部分が多いからね