2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh

03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており、いずれSBOMと関係する話として取り上げられると思います。 （SBOMの話、VEXの話はこちら）。 今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。 【04/01/2024 09:45更新】情報が纏まっているサイトを更新しました。また、piyologさんからリンクを貼っていただいていたので、こちらも載せています。その他、「xz –version」を実行するのもだめという話

about みんなだいすきRaspberry Pi(以下ラズパイ)、せっかく買ったのに、仮想化基盤を家に用意して不要になったり、電子工作に飽きてもう使わなくなりがち… 買ったときは数千円〜1万円以上出したのにね… そんな可哀想なラズパイ、家に転がってませんか？もったいなくないですか？ 僕も ラズパイ初代 ラズパイB+ ×2(マジでいらない…) ラズパイ4B(2GB) ラズパイ4B(4GB) が家に転がってます。 そこで、使い道を考えてみました。というか実際に運用しているものもあります。 使い道 Magic Mirror2 Magic Mirror2をご存知でしょうか？ なんかいい感じに、「鏡よ鏡、世界で一番美しいのは誰？」的なのをすることができます。 実際にどういった使い方を想定しているかは、「スマートミラー」を検索してみればいいかな〜と。(適当でごめんなさい) 直近の自分のタスクとかをい

今回ご紹介するリアルタイムOS（RTOS）「Xenomai」は、実は連載第27回にちょこっと名前が出ている。第27回では、Linux上でハードリアルタイム環境を提供する「RTAI」を紹介したのだが、このRTAIと一時期は開発がマージされ、その後に再び分かれたのがXenomaiなのである。 ⇒連載記事「リアルタイムOS列伝」バックナンバー 「RTAI」と比べて内部構成がクリーンで移植性も高い XenomaiはGNU/Linuxのフレームワークを利用した、Linux向けのリアルタイム拡張である。それもあってプロジェクトのURLは「http://freesoftware.fsf.org/projects/xenomai/」（現在このURLにはアクセスできない）に置かれた。fsf.orgの下にあるということからもこれが確認される。Xenomaiの当初のターゲットは、いわばLinuxの上でRTOSの

2021年末のCentOS 8サポート終了をめぐっては、利用者の間で大きな動揺が広がりました。OSの選択はその後になって影響する可能性があり、またOSの変更（移行）には膨大な労力がかかります。この記事では、 あらためてLinux ディストリビューションを選択するポイントを整理し、CentOS 8以外にどのようなOSがあるのか概要をまとめています。情報システムを適切に運用する方法として、「クラウドネイティブ」など比較的新しい考え方の理解も必要です。 今回のCentOS 8サポートおよび開発方針の変更から学ぶこと ｜CentOS 8サポート終了の衝撃 今から30年ほど前の1991年にLinuxオペレーティングシステム（OS）が誕生し、多くのLinuxディストリビューションが生まれ発展し、離合集散がありました。利用者が使いやすくする目的はどれも一緒で、操作の仕方は似ているようでも、用途や向き不向

ある晴れた昼下がり　こんなツイートを見かけました 【新商品】部品取りに！無線モジュール付きSoc基板＋白色プラスチックケース | 1,000円 #秋月電子 https://t.co/XGfEkWo9Qw pic.twitter.com/DNnpWKqidX — あきそく2.0 (@aki_soku) March 17, 2023 へー。中身… うおおおおおお、通販ぽちーーーーー！ こんなんかうやろ　なんなら今から取りに行きたいわ（いかないけど） https://t.co/dawFBTXHbf pic.twitter.com/D1lpN9w3dK — ひろみつ (@bakueikozo) March 17, 2023 としてTLを眺めていると… 次々に流れてくる購入報告と開封画像 久しぶりに秋月らしい物が… https://t.co/JB5Yvpu6N2 pic.twitter.com/ty

シェルスクリプトでlsをパイプでつなぐのはなぜ悪いのか ～ ShellCheck: SC2010, SC2011, SC2012 とファイル名改行問題ShellScriptUNIXshellシェル芸POSIX はじめに シェルスクリプトで ls コマンドの出力結果（ファイル名一覧）をパイプで他のコマンドに渡して処理するのは推奨されません。ls コマンドを使ったコードを ShellCheck で検査するとおそらく問題があると警告が表示されるでしょう。ls を使うなという指摘自体には賛成なのですが SC2010、SC2011、SC2012 に書いてある理由については正しい説明がされていないと思っています。この記事ではなぜ ls の出力結果を他のコマンドにパイプで渡すのが悪いのか、ls を使わずに実現するにはどうしたら良いのかを解説したいと思います。一つ補足をしておくと、この問題は CLI コマ

バンドリ！ ガールズバンドパーティ！ @bang_dream_gbp 🌹Roselia×いとうかなこ✨ 『スカイクラッドの観測者』 🎊フルPV公開🎊 Roseliaといとうかなこさんが一緒に歌う、エクストラ楽曲『スカイクラッドの観測者』のフルPVを、YouTubeにて公開しました🎶 ぜひチェックしてみてくださいね👇 youtu.be/1nx_DJwkWow #バンドリ #ガルパ #いとうかなこ 2022-09-30 20:00:51

はじめに シェルスクリプトで二重起動防止やロックをする方法を検索すると、いろいろな方法や書き方が見つかりますが、どれを使えばよいのか、本当に正しく動くのか、不安になりますよね？ ディレクトリ (mkdir) やシンボリックリンク (ln) を使った独自実装の例も見かけますが、エラー発生時や予期せぬ電源断、CTRL+C で止めたときなどでも問題は発生しないのでしょうか？ まず、ディレクトリやシンボリックリンクを使った独自実装はしない。これを肝に銘じてください。シェルスクリプトでのロック管理はとても難しく、一般的な排他制御の知識に加えて、シェルスクリプト特有の問題、シグナルやトラップ、サブシェルや子プロセスの問題、さらには特定のシェル固有の仕様やバグなどさまざまな問題に対処する必要があり大変です。独自実装の例では古いロックファイルが残ってしまい、それをいつどのタイミングで片付ければ安全なのか？

とりとめない話ですが、今どきのLinuxのパッケージングの種類とSteamDeckから一気に改善されたDirectX 周りの話です。社内の勉強会で共有した資料

はじめに そりゃまあ 30 年も経てば古くなりますよ。「入門UNIXシェルプログラミング」は今もシェルスクリプトに関するオススメの本として名前が挙がる名著です。しかしこの本は古い本です。POSIX でシェルが標準化される以前の本で、内容から判断するとおそらく 1990 年ぐらいの常識に基づいて書かれています。 古いから参考にならないと言うつもりはありません。しかしどれだけ優れた本でも時間の流れには勝てません。良書であると思っているからこそ、古くなってしまった内容は訂正する必要があると考えています。なおシェルスクリプトに関する古い本はこれだけではありません。オライリーから出版されている本も古い本ばかりです。いつ頃に（原書が）書かれた本なのかを確認した方が良いでしょう。 ということでレビューというていで、古くなってしまった内容の訂正を行いたいと思います。新しく「入門UNIXシェルプログラミング

JSON を行単位にわかりやすく展開してくれるコマンド gron がピンポイントでとても便利 2022-06-13-1 [Programming] コマンドラインでの JSON の操作には jq (軽量JSONパーサ)[2017-10-24-1] を使っています。万能で便利なんですが、奥まったところにある値だけを取りたいときとかちょっと面倒なんですよね。ちらっと値を見たいだけなのにおおげさになっちゃいがち。 ということで、 gron というのを使ってみました。 GitHub - tomnomnom/gron: Make JSON greppable!JSONをgrepしやすくするコマンドラインツールgronの紹介 - Qiitagronでjsonの扱いが楽になった話 – Tower of Engineers あ、これでいいや。 いわゆる「顧客（＝私）が本当に必要だったもの」だわ。 例えば、

「MacはLinuxだった」って本当？　「そうだね……」元Mac雑誌編集者は昔語りを始めた：ヤマーとマツの、ねえこれ知ってる？（1/4 ページ） 経歴だけは長いベテラン記者・編集者の松尾（マツ）と、幾つものテック系編集部を渡り歩いてきた山川（ヤマー）が、ネット用語、テクノロジー用語で知らないことをお互い聞きあったり調べたりしながら成長していくコーナー。交代で執筆します。 マツ　「MacはLinuxだった」という趣旨のツイートが話題になっていて、ああそういうこともあったなあ、と思い出したので、ちょっと昔語りしようかなと。茶でも飲みながら。 ヤマー　私は紅茶を用意してきます。 戻ってきました。macOSは何がベースになっているかって話ですよね。 マツ　結論から言っちゃうと、現在のmacOSはUNIX系列のOSではあるけど、Linuxではないです。macOSのベースになっているのはDarwin。

Web 開発者は HTTP レスポンスをよく見る。 以前 CDN を導入する際に、キャッシュがヒットしているかどうか、どこのエッジがキャッシュを返しているかを確認するためにヘッダをよく見ていた。また、ヘッダだけではなく、TTFB といったレスポンスタイムも気にしている。とにかく HTTP レスポンスをよく見る。 HTTP レスポンスを確認する３つの方法 Chrome さえあれば DevTools を見て一目瞭然である。 とはいえ、コマンドラインで確認したい時がしばしばある。 GUI を操作するよりも手軽である。 その場合はcurlコマンドを叩けばよい。 これでプロトコル、ステータス、ヘッダが分かる。 また、レスポンスタイムを測りたければ、その名もttfb.shというcurlをラップしたコマンドラインツールがある。 https://github.com/jaygooby/ttfb.sh この

追記 (2022 5/29): サーバ代をケチるべくVercelに移行しました。動いていたソースコードは ココ に置いてあります。 あなたの予想に反して、このページが見えているでしょうか？このWebサイトは自作OSのKerlaが提供しています。 これは自作OS Advent Calendar 2021の23日目の記事です。 自作OS「Kerla」の紹介 Kerla（かーら）はRustで書かれたLinux ABI互換モノリシックカーネルです。今年の春頃から作り始め、DropbearというSSHサーバが動作する程度には基本的なUNIXの機能が実装されています。具体的には、ファイルの読み書きやUDP/TCPソケット、fork/exec、シグナル、擬似端末といったものです。 カーネル実装の雰囲気を軽く紹介すると、Kerlaでは以下のようにシステムコールが実装されています。 /// write(2)

を設定してから再度試した所 bar が表示された。backupcopy は編集中のファイルによって自動で判別する auto がデフォルトになっている為、試す際には明示的に yes に設定しないといけない。 bash の実装確認 evalstring.c の parse_and_execute でコマンドが処理されており、input.c の with_input_from_buffered_stream で読み込みの準備が行われている。バッファの読み込みの本体は y.tab.c つまりパーサから直接呼ばれており、このパーサは fgets(3) で読み込まれつつ実行される為、一括でファイルが読み込まれている訳ではない。 while/do でループ実行した際に、ファイルを書き換えられたら戻り先はどうなるか、についてはスクリプトはバッファ付きで読み込まれており、そのバッファがファイルシステムから読

Today I’d like to announce Homebrew 2.0.0. The most significant changes since 1.9.0 are official support for Linux and Windows 10 (with Windows Subsystem for Linux), brew cleanup running automatically, no more options in Homebrew/homebrew-core, and removal of support for OS X Mountain Lion (10.8) and older. LinuxbrewのCentOS、Ubuntuへのインストール方法 curlやgitなどインストール 公式の手順にはありませんが、linuxbrewインストール時にエラーが出ないよう

Homebrewとは？ 最近ではOSや言語毎にパケージマネージャとよばれるツールが提供され、ソフトウエアや拡張機能のインストールはパッケージマネージャを利用して行うことが一般的になってきています。HomebrewはMacOS環境におけるいわゆるデファクトスタンダードなパッケージマネージャです。 HomebrewはAppleから提供されているものではありません。またWindowsでも動作します。 余談：各OS/言語におけるパッケージマネージャ OS Windows:Chocolatey MacOS: Homebrew(brew) Linux(RH系): yum, dnf Linux(Ubuntu): apt 言語 PHP: composer JavaScript(node): npm Ruby: gem Python: pip C#: NuGet

こんにちは、カナダに来て1年弱ですが、いまだに"how are you?"にアイムファインセンキューと返してしまう全然英語が上達してない聖賢です。 インフラエンジニアならみんな大好きtopコマンド、おそらくビヨンドの中ではサーバ運用の中で最初に覚えるコマンドじゃないでしょうか。 実は結構奥が深いコマンドでいろんなことができるので、これまでドヤ顔で「こんなこともできるんやで」と上司の威厳、、、もとい先輩としての経験を後進に伝えていたのですが私も最近になって初めて知った超便利な使い方を紹介したいと思います。 ちょっと長いですがお付き合いください。 普通にtopコマンドを実行すると以下のような画面が表示されます 結構これだけでもサーバ運用には重要な情報が詰まっているのですが、topコマンドの見方などは他でも色々と紹介されていると思うので今回は割愛します 今回はこのtopコマンドの表示を最終的にこ

回答 (6件中の1件目) 私はWindowsのカーネルを熟知しており、Linuxのカーネルについてはそれなりに知っています。 意外に思われるかもしれませんが、類似点の方がずっと多く、違いは少ないです。私がよく言う違いの1つは、LinuxのI/OモデルはUNIXから継承した同期式が基本で、WindowsのI/OモデルはVMSから継承した非同期式が基本であるということです。WindowsのI/Oリクエストの設計は、同期式と非同期式のI/Oを美しく管理できる優れた設計になっています。Linux(及び普通のUNIX)でも非同期のI/Oは可能ですが、そのための統一された仕組みはありません。これは...