XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
PowerShellでも手軽にコマンド天気予報が可能になった「wttr.in」
wttr.inは2016年から開発を続けてきた天気情報を取得できるサーバーだ。Linuxであればcurlやwget、PowerShellはInvoke-RestMethodを用いることで、現在地の天気情報を端末などに表示できる。 Windows 10であればWindows PowerShellもしくはPowerShellを起動し、「Invoke-RestMethod wttr.in」と実行する 既定では現在地の天気を示し出すが、「curl wttr.in/London」なら英国のロンドン、「curl wttr.in/Salt+Lake+City」なら米国ユタ州のソルトレイクシティーの天気が示される。 多言語に対応しており、コマンドラインに「?lang=ja」を追加すれば、日本語表示も行われる 出力形式は前述のANSIに加えて、プレーンテキストやHTML、JSON、PNGに対応。既存の画像フ
ターミナルから爆速で天気予報をみる - Qiita
天気予報、知りたいですよね? みんな仕事中にオイミャコン1って今どれくらいの気温かな?って気になるときがあると思う(俺はない)。そんなときいちいち天気予報アプリや検索するのは面倒って人に朗報です。あなたがいつもよく使っているその「黒い画面」から天気予報がわかるのです。 2019/06/28 追記 現在サービスを停止しているようです。復旧を待ちましょう。 Sorry, we processed more than 1M requests today and we ran out of our datasource capacity. We hope to solve the problem as soon as possible, so you can enjoy your favourite weather service 24x365 even if it rains or snows.
最新のRHEL9.3系に対応した「Linuxサーバー構築標準教科書(Ver.4.0.0)」LPI-Japanが無料公開。独習で仮想マシンやLinuxの導入、WebサーバやDNSサーバなど構築
Linux技術者認定「LinuC(リナック)」などを実施する特定非営利活動法人エルピーアイジャパンは、実習を通してLinuxサーバー構築の知識を学べる学習用教材「Linuxサーバー構築標準教科書」バージョン4.0.0の公開を発表しました。 「Linuxサーバー構築標準教科書」はクリエイティブ・コモンズ・パブリック・ライセンス「表示 - 非営利 - 改変禁止 4.0 国際 (CC BY-NC-ND 4.0)」の下で公開されており、PDF版とEPUB版は無料でダウンロード可能です(Kindle版と製本版は有料で提供されています)。 独学で読み進められサーバの動作原理やプロトコルを理解 Linuxサーバー構築標準教科書の内容は現時点(2024年2月)で最新のLinuxディストリビューションであるAlmaLinux 9.3、すなわちRed Hat Enterprise Linux 9.3系を前提と
妻殺害で服役中のReiserFS作者、LKMLに謝罪の手紙 | gihyo.jp
私は(LKMLに)直接投稿することができない。2006年に妻のニーナを殺害して投獄されているからだ(I don’t post directly because I am in prison for killing my wife Nina in 2006.)―1月18日付けでフォントデザイナー兼8chan創設者として著名なFredrick Brennanがカーネル開発者向けメーリングリスト「LKML.org」に投稿した内容がLinux関係者の間で話題を呼んでいる。2006年に妻のNina Reiserを殺害した容疑で逮捕され、第一級殺人罪で有罪判決を受けたReiserFS開発者 Hans Reiserが獄中からBrennanに宛てた手紙の全文が掲載されていたからだ。 Hans Reiser on ReiserFS deprecation -"Fredrick R. Brennan -lor
POSIXシェルスクリプトではwhichではなくcommand -vを使うべき理由(+シェルスクリプト版which) - Qiita
重要 2022-01-30 追記 この記事で解説していた警告の出力は 2022-01-21 に取り消されました(参照 Revert deprecation of which)。そのため Debian which が GNU which に変わることは(少なくとも近い未来では)ないと思います。しかしながら which を使うよりは POSIX で規定されている command と type を使う方を推奨します。 はじめに which コマンドはシステムにインストールされてるとは限りません。実際に最小構成でインストールされてない環境として CentOS があります。一方 command -v は POSIX 規定されているので POSIX に準拠したどのシェルでも問題なく使えます。シェル上では which コマンドを使っても良いと思いますが、シェルスクリプトでは command -v を使う
パイプに関係するさまざまなバッファ、ちゃんと意識していますか? - Qiita
はじめに コマンドをパイプでつなげた時、各コマンドの間にはいくつかのバッファが存在します。そのバッファについてちゃんと意識しているでしょうか? バッファの存在によって各コマンドの実行には分かりづらい変化があります。そのバッファを知らないと罠にハマってしまう・・・かもしれません。 プロセス間のパイプ通信のバッファ まずプロセス間のパイプ通信に存在しているバッファです。多くのコマンドは行単位でデータを処理しますが、一般的にパイプでつなげた各コマンドはそれぞれ処理速度が異なります。処理がすぐに終わるコマンドもあれば時間がかかるコマンドもあります。各コマンドは並列で動作可能ですが必ずしも並列で動作するわけではありません。 一般論としてパイプライン全体の処理にかかる実時間はパイプでつながったコマンドの中で一番遅いコマンドに足を引っ張られます。いくら並列で動作可能と言ってもデータが到着しなければ処理す
本番サーバー60台のホスト名を全部 cat にしてしまった話 - Qiita
この記事は、本番環境などでやらかしちゃった人 Advent Calendar 2023 の4日目です。年末進行、いかがお過ごしでしょうか?みなさま無事に仕事が納まることを願っております… 新人インフラエンジニアが、本番ウェブサーバー60台のホスト名を全部 cat にしてしまった話について、ここに供養させていただきたいと思います 背景 おそらく今から7年くらい前、インフラエンジニアとして転職してきて1年ほどが経ち、本番環境での作業もこなれてきたなというバッチリのタイミングで事を起こしてしまいました。サーバーは CentOS 6 だったと思います。 職場としてはまだまだベンチャー感にあふれ大きな裁量が与えられスピード感のある環境ながら、サービスの登録ユーザー数は1,000万を超え、本番環境の規模としては既になかなかの大きさがあり、ウェブサーバーだけでも60台くらいあったと思います。ひと山につき
Linux システムコール 徹底入門
Linux システムコールについて調べたことをまとめる。システムコールの仕組みを理解すると、 OS とアプリケーションがどのように連携して動いているのかを理解できるようになります。 システムコールは CPU に依存する処理が多いため、 x86_64 に絞ります。 検証環境]# cat /etc/redhat-release CentOS Linux release 8.0.1905 (Core) ]# uname -a Linux localhost.localdomain 4.18.0-80.11.2.el8_0.x86_64 #1 SMP Tue Sep 24 11:32:19 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux ]# cat /proc/cpuinfo | head processor : 0 vendor_id : GenuineInte
デスクトップPCのセキュリティ対策にはLinuxが最善の選択かもしれない
セキュリティやプライバシーに対する脅威はとどまるところを知らない。脅威は絶え間なく襲ってくるし、攻撃が重なるにつれて、被害はさらに広がり、効果も強まっている。悪者たちは腕を上げており、どうすれば攻撃がうまく行くかを知っている。こうした脅威を受ける理由の1つは、「Windows」をデスクトップPCやノートPCのメインのOSとして使っているからだ。 読者が動揺し始める前に説明しておこう。この記事では、他の記事のようにいきなりWindowsを切り捨てることはしない。Windowsのひどさについて語るつもりもない。Windowsを使ってユーザーのデータを盗んだり、データを盾にとって身代金を要求したりするのがどれだけ簡単かについても触れないでおく。 筆者の目的は、Windowsが抱えている問題を、コンピューターや、IT、技術に関して持っている知識に関わらずあらゆる人が理解できるように説明することだ。
さくらインターネット、会員登録不要で無償利用可能なオンラインシェル環境 「さくらのクラウドシェル」を2023年5月25日より提供開始 | さくらインターネット
さくらインターネット、会員登録不要で無償利用可能なオンラインシェル環境 「さくらのクラウドシェル」を2023年5月25日より提供開始 クラウドコンピューティングサービスを提供するさくらインターネット株式会社(本社:大阪府大阪市、代表取締役社長:田中 邦裕)は、ブラウザから無料で利用できるシェル環境「さくらのクラウドシェル」の提供を2023年5月25日より開始します。 「さくらのクラウドシェル」はオンラインのシェル環境で、すでに開発者向けの環境がインストールされているため、ご自身の環境に手を加えることなくすぐに利用することができます。 基本機能は会員登録不要のプランにて利用可能です。また、必要に応じて会員IDを利用することでアクセス制限を緩和することが可能です。それに伴い、デプロイ・リリース用サーバとしての利用や外部I/Fを利用するようなプログラミング環境としての利用など柔軟に利用できます。
さくらインターネット、SSLサービスを拡充 | さくらインターネット
さくらインターネット、SSLサービスを拡充 〜ジオトラストブランドのドメイン認証SSL「ラピッドSSL」が年間1,500円で利用可能に〜 自社運営のデータセンターでインターネットインフラサービスを提供するさくらインターネット株式会社(本社:大阪市中央区、代表取締役社長:田中 邦裕)は、SSLサーバ証明書のラインアップを拡充し、年額1,500円から利用できるドメイン認証SSLを本日2015年7月30日より提供開始いたしました。 ジオトラストブランドのドメイン認証SSL証明書が1,500円から利用可能 ジオトラスト社は世界シェアNo.1(※1)のシマンテックグループの一社であり、最大手のシマンテック社に次ぐ世界第2位の認証局です。世界で10万社以上の導入実績があり、金融業界をはじめ、ECサイトや情報サービス、通信業、製造業などあらゆる業種で利用されています。 今回新たに提供する「ラピッドSSL
GNU tar 1.31登場、圧縮アルゴリズム「Zstandard」に対応
GNU tarの開発者であるSergey Poznyakoff氏は1月2日(米国時間)、メーリングリスト「tar-1.31 released [stable]」において、GNU tarの最新版となる「GNU tar 1.31」の公開を伝えた。 GNU tar 1.31の主な注目点は次のとおり。 Zstandard圧縮アルゴリズムをサポート(--zstd)。圧縮時は--zstdを指定することで利用できるほか、-aが指定されている場合は拡張子が.zstまたは.tzstの場合には自動的に適用されるようになる。リスト、展開、比較の操作では自動的に利用される -Kオプションで名前を指定することで、該当する名前のメンバーを展開することが可能 バグ修正と脆弱性対応 GNU tarはLinuxをはじめUNIX系オペレーティングシステムでよく使われているアーカイバ。利用される圧縮アルゴリズムは時代とともに変
Squidをソースから導入してSSL Bumpを設定する – guro_chanの手帳
サーバOS: Ubuntu 18.04 Server クライアントOS: Windows 10 Pro version 1903 Squid 4.9 まずはソースコードを取得するところから始める。 $ wget -c http://www.squid-cache.org/Versions/v4/squid-4.9.tar.bz2 $ wget -c http://www.squid-cache.org/Versions/v4/squid-4.9.tar.bz2.asc $ gpg --recv-keys B06884EDB779C89B044E64E3CD6DBF8EF3B17D3E $ gpg --verify squid-4.9.tar.bz2.asc (snip) gpg: Good signature from "Amos Jeffries (Squid Signing Key)
Orange Pi Zero2を触ってみた
Allwinner H5を搭載したOrange Pi Zero Plus (以下OPi0+)が突然死したらしく、電源のオフ・オンを行ってもらってもLEDが点かないということで(自身では実物を見てないので本当のところは不明)、急遽新しいSBCを購入することに。で、一番カンタンなのはおそらく全く同じOPi0+を購入すること。microSDカードを壊れたらしいOPi0+から新しいOPi0+に差し替える、またはバックアップイメージを新しいmicroSDカードに焼いて新しいOPi0+に挿す。これだけでイケる筈。 しかし、Allwinner H5は生産中止(いわゆるディスコン)という話で、H5を搭載したSBCはOrange Piだけでなく他社製品含め軒並み在庫切れ。 どうするか、で目を付けたのが2020年11月発表12月販売開始したばかりのOrange Pi Zero2 (以下OPi02)。OPi02
【Raspberry Pi Advent Calendar 2021】Orange Piの話をしよう|arkw
これは Raspberry Pi Advent Calendar 2021 24日目の記事です。 22日目の冒頭に触れたOrange Piの紹介をします。 Orange Piとは?ラズパイの中華パチモンを意識したシングルボードコンピュータです。中国のShenzhen Xunlong Software CO.,Limitedが製造販売しています。基本的には青い基板で、中国Allwinner(最近はRockchipも)のARMプロセッサを搭載しています。安物タブレットでお馴染みのプロセッサですね。明らかにラズパイに似せたモデルからオリジナリティ溢れるモデルまで様々な機種があり、用途に応じてラズパイと使い分けることで、より良いシングルボードコンピュータ・ライフを送ることができます。(ほんまか?) メリット・安い。ラズパイは昨今の半導体不足の影響によりとんでもない価格で取引されている。Orange
SSL/HTTPS対応の透過型プロキシを立てる(SSL Bump) | web net FORCE
squid3で透過型プロキシをたてるとき、標準ではSSL/HTTPSの通信の中身を確認することは出来ない。しかし、いわゆる「SSL Bump」という、Squidの中で一度SSLをほどき、そしてsquidで処理をし終わった後に再度SSLをかけるような処理を採用することで、SSL/HTTPSのアクセスでもsquidでキャッシュをすることが出来る。 この方法は、じつは「中間者攻撃」と非常によく似ている方法なので注意が必要なのだが、squidを利用したキャッシュサーバーの構築では非常に優れている方法なので、今回はこちらを用いて透過型プロキシを構築していく。 透過型プロキシとする理由は、VPN接続時に自動的にこちらに接続されるように仕向けるため。 squid3をSSL/HTTPSに対応するようリビルドSourceファイルをダウンロード出来るようにaptを編集標準でaptからインストールされるsqui
Linux、ついにIntel 486プロセッサのサポート終了へ - iPhone Mania
LinuxはさまざまなCPUをサポートしていることで知られていますが、そのなかにはWindowsなどのメジャーなOSがサポートを打ち切ったかなり古いCPUも含まれています。 これまでは1989年に登場したIntelの486プロセッサもサポートされていたのですが、次期Linuxカーネルでサポートが打ち切られるかもしれません。 33年前に登場した486プロセッサ Intelの486プロセッサは1989年に登場したx86アーキテクチャのCPUです。 数多くのPCに採用され、日本でもPC-9801/9821シリーズおよびその互換機に採用されました。 動作周波数は最高で100MHz(0.1GHz)、製造プロセスルールは最も先端のもので0.6マイクロメートル(600μm)と、当時としては高性能でしたが今となっては懐かしいスペックといえます。 486プロセッサは2007年まで製造が継続されましたが、現在
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【脱sed】いい加減シェルスクリプトで文字列をsedで置換するなんてやめよう - Qiita
4599 – Support OpenSSL v1.1