2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh

Red HatやDebianを含むLinuxディストリビューションで広く使用されている圧縮ツール「xz」の最新版に悪意のあるバックドアが含まれていた事がわかりました(Ars Technica)。 発見した開発者のAndres Freund氏は、xz version 5.6.0と5.6.1に悪意のあるコードが含まれていることが分かったと指摘しています。幸い、このバージョンは主要なLinuxディストリビューションの製品リリースでは使用されていませんが、Fedora 40やFedora Rawhide、Debian testing/unstable/experimentalなどのベータ版リリースには含まれていたそうです。 macOSのHomebrewでは、複数のアプリがxz 5.6.1に依存している事が判明し、現在xz 5.4.6へのロールバックが行われています。 悪意のある変更は難読化され、バ

筆者は1997年から「Linux」を使い続けているが、その間、問題が起きたのはたった1回だけだ。その期間の長さを考えれば、これは非常に立派な成績だと言えるだろう。あるOSを30年近く使ってきて、何回か小さな問題があったほかは、深刻な問題が1度しか起きなかったという状況を想像してみて欲しい。 誰がどう見ても、それは勝利だ。 ただし最初の頃は、Linuxを使うのは決して簡単ではなかった。おそらく、筆者がLinuxに非常に早く慣れることができたのは、それが理由だろう。真剣に努力しなければならなかったのだ。 しかし今のLinuxは、昔のLinuxとは別物だ。今のLinuxは驚くほど使いやすくなっている。コマンドラインを使う必要もなければ、自分でカーネルをコンパイルする必要もない。bashのスクリプトを書いたり、正規表現を覚えたり、自分でファームウェアをインストールしたりする必要もなくなった。 今の

sudo su と sudo -s はほぼ同じ。実行されるシェルが異なることがある。 sudo su - と sudo -i もほぼ同じ。環境変数のクリア的な意味だと sudo su - の方が強い。 以下は別に読まなくてもいい。 su 別のユーザーでシェルを実行するコマンド。自分は「す」とか「えすゆー」とかと呼んでる。 元は super user とか switch user とか substitute user の略だったらしい。 デフォルトでは root になるが、引数でユーザー名を指定するとそのユーザーになる。 新ユーザーのデフォルトのシェルとして設定されているシェルが実行される。 入力するパスワードは新ユーザーのパスワード。 ~% su Password: (rootのパスワード) root@hostname:/home/tmtms# id uid=0(root) gid=0(r

主にアプリケーション開発者向けに、Linuxサーバ上の問題を調査するために、ウェブオペレーションエンジニアとして日常的にやっていることを紹介します。 とりあえず調べたことを羅列しているのではなく、本当に自分が現場で使っているものだけに情報を絞っています。 普段使っているけれども、アプリケーション開発者向きではないものはあえて省いています。 MySQLやNginxなど、個別のミドルウェアに限定したノウハウについては書いていません。 ログインしたらまず確認すること 他にログインしている人がいるか確認（w） サーバの稼働時間の確認 (uptime) プロセスツリーをみる (ps) NICやIPアドレスの確認 (ip) ファイルシステムの確認（df） 負荷状況確認 top iostat netstat / ss ログ調査 /var/log/messages or /var/log/syslog /

Boeing’s Starliner spacecraft has successfully delivered two astronauts to the International Space Station, a key milestone in the aerospace giant’s quest to certify the capsule for regular crewed missions.  Starliner…

地球から400キロ離れた場所にテクニカルサポートを提供するのは難しい──。Linux Foundationは5月9日（現地時間）、アメリカ航空宇宙局（NASA）の契約企業で、国際宇宙ステーション（ISS）やスペースシャトルのオペレーションにかかわるUnited Space Alliance（USA）から、ISSで使うノートPCのプラットフォームをWindowsからLinuxに移行するためのユーザートレーニングを依頼されたと発表した。 ISSに滞在する宇宙飛行士らが業務で利用するノートPCのネットワーク「OpsLAN」の責任者を務めるUSAのキース・チュバラ氏は「われわれは、重要な機能をWindowsからLinuxに移行させた。安定し、信頼でき、自分たちで管理できるOSが必要だからだ」と語った。 チュバラ氏が管理しているノートPCは数十台で、ユーザー数は少ない（ISSは6人体制）ものの、幅広

Team Tiny Coreは2012年11月1日（米国時間）、OSとアプリケーションをメモリー上で実行する軽量Linux「Tiny Core Linux」のバージョン4.7を公開した（写真1）。利用時のみアプリケーションをメモリーに展開するモードを強化。メモリー使用量の削減と起動の高速化を実現した。 従来のバージョン4.6では、必要なファイルをひとまとめにして管理できる新パッケージ管理機構「SCM」で、アプリケーションを起動するまでメモリーに読み込まない「OnDemand」モードを利用できなかった。今回のバージョン4.7では、SCMがOnDemandモードに対応。管理が煩雑な従来のパッケージ管理機構「tcz」と機能面で同等とした。 このほかにも、SCMパッケージの実行用コマンド「scm-run」、アプリケーションラウンチャー「wbar」へのOnDemandアイコンの自動登録機能などを追加

(2019-11-21)久しぶりにこのブログに新規でページを作りました。 translate to English このサイト（diskless Fun's Wiki）について 2006-8-18 新規にサイト開設 最終更新: 2019-11-21 主にPC UNIX（Linux, Solaris x/86）をディスクレスで運用する為の情報と、...

パソコン技術の進歩は「日進月歩」ではなく「秒進分歩」と呼ばれるくらい速い。6～7年前のノートパソコンに最新の「ウィンドウズ7」をインストールしても、OSの機能を十分に発揮できず動作も鈍い。しかし古いパソコン上でも動作し、高速に起動するOSが登場して注目を集めている。それが米スプラッシュトップ社の「スプラッシュトップ（Splashtop）OS」だ。今回はこのOSを様々なパソコンにインストールし、

サーバのファイル整理作業をしていたところ…、 間違えてrm -rfしてしまった！ ぎゃーバックアップもねー！ 長いこと生きてたらこんな経験の1度や2度はありますよね？ えぇ、ついさっきやらかしちゃいましたｗｗオワタｗｗｗ 速攻「rm 復活」とか「rm 取り消し」とかでググッたねｗ、したらmcってプログラムのUndelete機能使えばよいって情報が出てくるが、どうやらこれext2じゃないと使えないっぽいぞ…、うちext4だ。 混乱。以下ターミナルのヒストリーより実況。 ## こーいうときはまずあれだ、現場保存！ ## まずは今いるパーティションを確認 # df -hT Filesystem Type サイズ 使用 残り 使用% マウント位置 /dev/sdb2 ext4 193G 6.9G 176G 4% / /dev/sdb1 ext3 194M 22M 163M 12% /boot /d

週報 2024/04/28 川はただ流れている 4/20（土） 初期値依存性 さいきん土曜日は寝てばかり。平日で何か消耗しているらしい。やったことと言えば庭いじりと読書くらい。 ベランダの大改造をした。 サンドイッチ 一年前に引っ越してからこんな配置だったのだけど、さいきん鉢を増やしたら洗濯担当大臣の妻氏…

emacsというエディタの存在は皆さんご存知かと思います。 しかしながら、立ち上げてはみたものの何をしていいかわからない...もしくは、チャレンジしてみようと思ったけれども機能がありすぎて何やっていいのかわからない...まさにこういった経験はないでしょうか？ 実際のところ私自身も、emacsを使うようになるまで数回挫折しています。やはり自分が挫折してしまった理由も、機能が多すぎて使いこなせなかったことでいつも使わなくなってしまっていました。 このエントリーでは複数回に分けて、emacsを便利かもと感じれるレベルになるまでのチュートリアルをお送りしようと思います。 まず今回はemacsの導入までを実施したいと思います。 なぜいまどきemacsか？ サンがJava FXの実例をデモ − ＠IT Java,そしてemacsの開発者である、ジェームス・ゴスリン氏はEmacsは消滅すべきと語っていま

Vim講座3 - think and error テキストエディタであるvimはとても扱いやすいのだが、Vimてモード概念があって敷居が高い（誤用）よね。ということで少しだけ書いてみる。 viキー操作メモ(Hishidama's vi Memo) こんなサイトもあるわけなのだけど、これ不便。普段使わないものまで全て書いてあるからだ。 初心者にとっては、どこまで知ればミニマルなのかが知りたいというのに。 概要 モード概念 カーソル移動 インサートモードへ 保存 ////////////基礎終了//////////// ビジュアルモードとコピペ ジャンプ 置換 Undo,Redo[***IMPORTANT***] 一文字置換 こうやってみると長そうだね． モード概念 モードは4つ。ノーマルモード、インサートモード、ビジュアルモード、コマンドモード。 ノーマルモード 起動したときはこのモード。移

文：Jack Wallen（Special to TechRepublic） 翻訳校正：村上雅章・野崎裕子 2008-09-17 08:00 Linuxにソフトウェアをインストールするという作業には、かつてほどではないものの、注意すべき落とし穴がまだいくつか存在している。しかし、本記事で紹介している項目を参考にすることで、あなたのLinuxライフはよりシンプルで安全なものとなるはずだ。 ＃1：.rpmや.debを採用しているシステムにもかかわらず、ソースコードからイントールを行う Linux初心者の中には、OS上にインストールされるすべてのアプリケーションが、rpmやapt（あるいはdpkg）といったパッケージ管理システムによって管理されるということすら知らない人も多い。とは言うものの、こういったシステム（rpmやapt、dpkg）が管理できるものは、当該システムを用いてインストールしたア