ついに英BBCが日本の「外国人技能実習制度」の実態を報道。高齢化社会の危機を迎えた日本ではこの制度を導入し、海外からの労働者に低賃金で過重労働を強いている実態を取材。厳しく批判。テレビでは報道されない驚愕の事実も明らかに。 Mig… https://t.co/7xz09rTiyk
2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
Red HatやDebianを含むLinuxディストリビューションで広く使用されている圧縮ツール「xz」の最新版に悪意のあるバックドアが含まれていた事がわかりました(Ars Technica)。 発見した開発者のAndres Freund氏は、xz version 5.6.0と5.6.1に悪意のあるコードが含まれていることが分かったと指摘しています。幸い、このバージョンは主要なLinuxディストリビューションの製品リリースでは使用されていませんが、Fedora 40やFedora Rawhide、Debian testing/unstable/experimentalなどのベータ版リリースには含まれていたそうです。 macOSのHomebrewでは、複数のアプリがxz 5.6.1に依存している事が判明し、現在xz 5.4.6へのロールバックが行われています。 悪意のある変更は難読化され、バ
Linux Daily Topics xzパッケージに仕込まれた3年がかりのバックドア、スケール直前に見つけたのはMicrosoftの開発者 “アップストリームのxzリポジトリとxz tarballsはバックドア化されている(The upstream xz repository and the xz tarballs have been backdoored)”―2024年3月29日、Microsoftに所属する開発者 Andres Freundが「Openwall.com」メーリングリストに投稿したポストは世界中のオープンソース関係者に衝撃を与えた。 backdoor in upstream xz/liblzma leading to ssh server compromise -oss-security 主要なLinuxディストリビューションにはほぼ含まれているデータ圧縮プログラ
GNU coreutils をソースからコンパイルしようとしてびっくり。coreutils-7.3.tar.gz (9690396バイト) 以外に coreutils-7.3.tar.xz (4045980バイト) が置いてある。*.xz は *.gz の42%のサイズしかない。 7-Zip で使われているアルゴリズム LZMA が gzip 相当の圧縮ツール xz として実装されたのだ。 これからは gzip と打つ代わりに xz と打とう。キーストローク数が半減するだけでなく,ディスク資源が半減し,地球温暖化も半減する。
03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており、いずれSBOMと関係する話として取り上げられると思います。 (SBOMの話、VEXの話はこちら)。 今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。 【04/01/2024 09:45更新】情報が纏まっているサイトを更新しました。また、piyologさんからリンクを貼っていただいていたので、こちらも載せています。その他、「xz –version」を実行するのもだめという話
Everything I Know About the XZ Backdoor stateevergreeninblogdate3/29/2024Please note: This is being updated in real-time. The intent is to make sense of lots of simultaneous discoveries regarding this backdoor. last updated: 5:30 EST, on April 2nd Update: The GitHub page for xz has been suspended. 2021JiaT75 (Jia Tan) creates their GitHub account. The first commits they make are not to xz, but the
本記事は4月3日21:30(JST)時点で判明している事実をまとめたものです。誤りがあればコメントでお知らせください。 本記事には誤りが含まれている可能性があります。 新しい情報があれば随時更新します。 ** 4/2 18:30 Q&Aを追加しました。 4/2 11:30 実際にバックドアが存在する環境を作成し、攻撃可能なこと、出力されるログ等について追記しました。また、攻撃可能な人物は秘密鍵を持っている必要があることを追記しました。** ところどころに考察を記載しています。 事実は~です。~であると断定し、考察、推測、未確定情報は考えられる、可能性があるなどの表現としています。 またpiyokango氏のまとめ、JPCERT/CCの注意喚起もご覧ください。 なお、各国のCSIRTまたは関連組織による注意喚起の状況は以下のとおりで、アドバイザリを出している国は少ない状況です。 概要 問題の
xz-backdoor.md FAQ on the xz-utils backdoor (CVE-2024-3094) This is still a new situation. There is a lot we don't know. We don't know if there are more possible exploit paths. We only know about this one path. Please update your systems regardless. This is a living document. Everything in this document is made in good faith of being accurate, but like I just said; we don't yet know everything abo
GNUプロジェクトは3月5日、GNU tar 1.22をリリースした。このバージョンでは、新たに「xz圧縮」をサポートする“--xz”オプションが追加された。この見慣れない圧縮形式は、.lzmaを置き換えるものとして、LZMA UtilsをリリースしてきたTukaaniプロジェクトが公開したフォーマット。拡張子は.xzだ。 GNUプロジェクトは3月5日、GNU tar 1.22をリリースした。tarは、複数のファイルを1つにまとめるUNIX標準のファイルアーカイブ。GNU tarバージョン1.22では、新たに「xz圧縮」をサポートする“--xz”オプションが追加された(“-J”にショートカットがアサインされている)。 この見慣れない「xz」という圧縮形式は、これまでLZMA UtilsをリリースしてきたTukaaniプロジェクトが1月29日に正式公開したフォーマットで、拡張子は.xz。既存
2009年05月07日08:00 カテゴリTipsiTech tips - xzってどうよ!? そう奥村先生がおっしゃるなら、というわけで試してみた。 gzipの代わりにxzを使おう | Okumura's Blog これからは gzip と打つ代わりに xz と打とう。キーストローク数が半減するだけでなく,ディスク資源が半減し,地球温暖化も半減する。下準備 具体的には、xzコマンドとGnu Tar 1.22以降を用意することになる。gzやbz2と違って、gnu tar も xz はパイプ経由で扱っているので、gnu tar だけインストールしても % gnutar Jcvf perl-5.10.0.tar.xz perl-5.10.0 perl-5.10.0/ perl-5.10.0/apollo/ perl-5.10.0/apollo/netinet/ perl-5.10.0/apol
The Linux Foundationが2024年4月16日から18日にかけて開催したOpen Source Summit North Americaの中で、Linuxの生みの親でLinuxカーネル開発の優しい終身の独裁者としても知られるリーナス・トーバルズ氏が、Verizonのオープンソースプログラムオフィス責任者であるディルク・ホーンデル氏とともに、Linux開発と関連する問題について公開での議論を行いました。 Linus Torvalds on Security, AI, Open Source and Trust - The New Stack https://thenewstack.io/linus-torvalds-on-security-ai-open-source-and-trust/ Linus Torvalds takes on evil developers, ha
ツイートに位置情報を追加する 位置情報と一緒にツイートした場合、Twitterはその位置情報も保存します。 毎回ツイートする際に、位置情報を付加する/付加しないを選択することができ、いつでも過去の位置情報を全て削除することも可能です。 詳細はこちら
2023年3月29日に、Linuxで広く採用されている圧縮ツール「XZ Utils」にバックドアが仕込まれていることが発覚しました。このバックドアを仕込んだ「Jia Tan」と名乗る人物の正体について、プログラマーのエバン・ボエス氏がGitHubコミットなどを追いかけて分析した結果を公開しています。 Everything I know about the XZ backdoor https://boehs.org/node/everything-i-know-about-the-xz-backdoor XZ Utilsはオープンソースで開発されており、複数人から寄せられたコードをメンテナがマージする開発形態を取っていました。XZ Utilsのメンテナは長年ラッセ・コリン氏が務めていたのですが、2022年にJia Tanがコリン氏に代わってメンテナに就任。そして2024年2月23日にJia
2024年3月29日に、圧縮ツールの「XZ Utils」に、悪意のあるバックドアが仕込まれていたことが明らかになりました。どのようにバックドアが仕掛けられたのかについて、Googleのエンジニアであるラス・コックスさんが時系列順にまとめました。 research!rsc: Timeline of the xz open source attack https://research.swtch.com/xz-timeline XZ Utilsおよび設置されていたバックドアについては下記の記事で解説しています。 Red HatやDebianなどLinuxディストリビューションの組込み圧縮ツール「XZ Utils」に悪意のあるバックドアが仕掛けられていたことが発覚 - GIGAZINE XZ Utilsへの攻撃を行った「Jia Tan」という名前の攻撃者は2021年後半ごろから数年に渡ってXZ
追記: 修正が中途半端だったのでいったんリバートされ go1.9 で修正される事になりました。 UNIX に慣れている人であれば問題ないのですが、Windows で zip や tar.gz, tar.bz2, tar.xz を開くのは意外と不便で専用アーカイバをダウンロードしてきてインストールする必要があり、割かし不便なのですが archiver というツールを使うと以下のフォーマットを簡単に作成、展開できるようになります。 .zip .tar .tar.gz .tgz .tar.bz2 .tbz2 .tar.xz .txz .rar (開くのみ) インストールは golang が入っていれば簡単です。 $ go get github.com/mholt/archiver/cmd/archiver 使い方も簡単で、圧縮は以下の手順。 $ archiver make [archive na
2024年3月29日に、圧縮ツールのXZ Utilsに、悪意のあるバックドアが仕込まれていたことが明らかになりました。そのバックドア攻撃において攻撃者が使用したスクリプトについてGoogleのエンジニアであるラス・コックス氏が解説しています。 research!rsc: The xz attack shell script https://research.swtch.com/xz-script XZ Utilsへの攻撃がどのように行われたのかという時系列順のまとめは下記記事で確認できます。 XZ Utilsにバックドア攻撃が行われるまでのタイムラインまとめ - GIGAZINE コックス氏は今回の攻撃は大まかに「シェルスクリプト」の部分と「オブジェクトファイル」の部分の2つに分割できると述べました。攻撃はソースコードをコンパイルする「make」に対し、環境に応じて適切な設定を行う「con
Follow @Openwall on Twitter for new release announcements and other news [<prev] [next>] [thread-next>] [day] [month] [year] [list] Date: Fri, 29 Mar 2024 08:51:26 -0700 From: Andres Freund <andres@...razel.de> To: oss-security@...ts.openwall.com Subject: backdoor in upstream xz/liblzma leading to ssh server compromise Hi, After observing a few odd symptoms around liblzma (part of the xz package)
わたしの記憶が確かならば1999~2002年頃のことだったか。F1.8からはじまる3倍ズームという超明るいレンズを搭載したコンパクトデジカメがあった。オリンパスの「CAMEDIA C-2040 ZOOM」から「同 C-5050 ZOOM」と続いたシリーズである。この頃をピークに、コンパクトデジカメのレンズは広角化/高倍率化/小型低価格化の波に押されて、暗くなっていったのだ。 左が今回取りあげるXZ-1、右が2002年発売のC-5050Z。C-5050Zは35-105mm相当の3倍ズームハイエンドコンデジで、F1.8-2.6という明るいレンズを搭載していた。当然ながら、XZ-1の方が圧倒的に薄くて携帯性が高い それが復活したのである。そのオリンパスがレンズ性能に磨きをかけて新しく投入したコンパクトデジカメが「OLYMPUS XZ-1」」。レンズには「i.ZUIKO」という同社の一眼と同じ「Z
Posted on Monday, April 1, 2024. Updated Wednesday, April 3, 2024. Over a period of over two years, an attacker using the name “Jia Tan” worked as a diligent, effective contributor to the xz compression library, eventually being granted commit access and maintainership. Using that access, they installed a very subtle, carefully hidden backdoor into liblzma, a part of xz that also happens to be a d
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2024-04-12 07:30 すべての始まりは、Microsoftの主任ソフトウェアエンジニアであるAndres Freund氏が、「Debian Linux」ベータ版のSSHリモートセキュリティコードの実行速度が遅い理由に関心を持ったことだった。Freund氏が詳しく調べたところ、問題が明らかになり、xzデータ圧縮ライブラリーのチーフプログラマー兼メンテナーだったJia Tanと名乗る人物がコードにバックドアを仕掛けていたことが分かった。その目的は、攻撃者が「Linux」システムを乗っ取れるようにすることだ。 近年は、悪意あるハッカーがソフトウェアに不正なコードを挿入する事例が非常に多くみられる。一部のオープンソースコードリポジトリー、たとえば人気の「
2014年9月にリリースされたファッションコミュニティ「XZ(クローゼット)」。チャットコーデ提案の「PRIMODE」や定期購入サービスの「airCloset」などファッション系サービスの登場が相次いでいますが、XZの特徴はその高い実用性。自分が既に持っているアイテムを活かした着回し力の強化が最大のバリューです。 利用者数の半数を占めるのが18歳から26歳の女性。登録されたファッションアイテム数は累計13万点以上、1日1,000点のペースで増え続けています。XZに登録された着回しアイディアの登録件数は22,000件超。クローゼットには洋服が溢れているけれど、着ていく服がない。結局、似たようなコーデばかりになってしまうけれど、いつも同じ服ばかり着ていると思われたくない。 そんな女性の日常的な悩みを、「自分のクローゼットの中にある洋服を活かす」という最短ルートでXZが解決を試みます。着ていく服
新「iPhone」3機種と「ZenFone 4」「Galaxy Note8」「Xperia XZ1」のスペックを比較する:どれが買い?(1/3 ページ) いよいよ発売される「iPhone 8」「iPhone 8 Plus」。だが、同時期には「ZenFone 4」も発売され、恐らく「Galaxy Note8」や「Xperia XZ1」も日本で登場するはず。どのモデルが買いなのか? スペックを比較していこう。 Appleが「iPhone X」「iPhone 8」「iPhone 8 Plus」を発表した。iPhone 8/8 Plusは現行のiPhone 7/7 Plusの正統進化、iPhone Xは「次の10年に向けた新しい製品」として、デザインやディスプレイ、UI(ユーザーインタフェース)を大きく変えてきた。ちなみに、「X」は「テン」と発音し、数字の10を表す。iPhone 8/8 Plus
2024年3月29日に発覚した「XZ Utils」というライブラリへ仕掛けられていたバックドアについて、ロシアのセキュリティ企業であるカスペルスキーが分析記事を投稿しました。 Kaspersky analysis of the backdoor in XZ | Securelist https://securelist.com/xz-backdoor-story-part-1/112354/ XZは多くのLinuxディストリビューションで使用されている圧縮ツールで、今回は特にOpenSSHのサーバープロセスである「sshd」をターゲットに攻撃が行われました。「Ubuntu」「Debian」「RedHat/Fedora」などのディストリビューションではsshdの起動時に「systemd」経由でXZが呼び出され、sshdにリモートでコードが実行できるバックドアが仕掛けられます。 今回のバックド
XZ Utils is a complete C99 implementation of the .xz file format. XZ Utils were originally written for POSIX systems, but has been ported to a few non-POSIX systems over the years. XZ Utils consist of several components: liblzma is a compression library with an API similar to that of zlib. xz is a command line tool with syntax similar to that of gzip. xzdec is a decompression-only tool smaller tha
CVE-2024-3094 XZ Utils 5.6.0 and 5.6.1 release tarballs contain a backdoor. These tarballs were created and signed by Jia Tan. Tarballs created by Jia Tan were signed by him. Any tarballs signed by me were created by me. GitHub accounts of both me (Larhzu) and Jia Tan were suspended. Mine was reinstated on 2024-04-02. xz.tukaani.org (DNS CNAME) was hosted on GitHub pages and thus is down too. It m
Abstract One of the challenges of digital preservation is the evaluation of data formats. It is important to choose well-designed data formats for long-term archiving. This article describes the reasons why the xz compressed data format is inadequate for long-term archiving and inadvisable for data sharing and for free software distribution. The relevant weaknesses and design errors in the xz form
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く