【緊急】Linuxなどで利用されている圧縮ソフトXZ Utilsにバックドア [543236886]
■ このスレッドは過去ログ倉庫に格納されています
xzパッケージ5.6.0と5.6.1に仕込まれてる模様
Linuxユーザーは各ディストロのアナウンスを確認の上、対応を
ソース
oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise
https://www.openwall.com/lists/oss-security/2024/03/29/4
Urgent: Secret Backdoor Found in XZ Utils Library, Impacts Major Linux Distros
https://thehackernews.com/2024/03/urgent-secret-backdoor-found-in-xz.html
広く使用されている「xz」にssh接続を突破するバックドアが仕込まれていた事が判明。重大度はクリティカルでLinuxのほかmacOSにも影響
https://softantenna.com/blog/xz-backdoor/ >>1
ありがと!
日本語の記事あったわ
広く使用されている「xz」にssh接続を突破するバックドアが仕込まれていた事が判明。重大度はクリティカルでLinuxのほかmacOSにも影響 | ソフトアンテナ
https://softantenna.com/blog/xz-backdoor/ xzメンテナのLarhzuがちょいちょい行方不明になるし狙いやすかったんだろうね 最近のLinux鳥は大抵標準で入ってるから甚大だな Jia Tanとかいうユーザが該当箇所をコミットしたとかなんとか Ubuntu 23.10使ってるけどXZ Utilsのバージョン5.4.1だった >>15
逆でXZ Utilsのversionが5.6.0/5.6.1を採用してい(る|た)distroはFedora,Debian(testing,
sidのみ)等の極限られた環境のみで、大方のDistroは大丈夫。それでも心配な人は以下の
コマンド実行で 5.6.0または5.6.1 と表示されたらアウト、されなければ、セーフ。
$ xz --version
Linux Upstream XZ Tarballs Have Been Backdoored
ByBobby BorisovOnMarch 29, 2024
https://linuxiac.com/the-upstream-xz-tarballs-have-been-backdoored/ そもそも日本のウエブサイトは暗号化したhttps://さえしてないしな。sshどころかsslさえ使用してないし。 >>16
件の人物Jia Tan(JiaT75)が過去にどんな行動を行っていたかをトレースした記事が↓。こんな
風に怪しげな動きをしてたのが可視化されるのが、OSSのメリットの一つ。
Everything I know about the XZ backdoor
https://boehs.org/node/everything-i-know-about-the-xz-backdoor やっぱローリングリリースだとかFedoraみたいな人柱用は色々リスクあるな >>2
>幸い、このバージョンは主要なLinuxディストリビューションの製品リリースでは使用されていませんが、Fedora 40やFedora Rawhide、Debian testing/unstable/experimentalなどのベータ版リリースには含まれていたそうです。
各種ディストリビューションの安定版まではあんまり影響ない? >>9
他のプロジェクトでマッチポンプの実績作りしてたって話してる? unstableとかをレポジトリにセットするのは冒険者だけ >>27
信頼得るために普通のコミットもしてたのか
手込んでるな >>1
これメジャーなディストリではバイナリ配布前だったからいいけど
エンドユーザーにもソースからビルドさせるキ○ガイディストリでは既に食らってたってねえ… >>36
最初のコミットも怪しかったと>27の記事で指摘されているが、件の人物以外に、Jigar Kumar,
Hans Jansen等の"別人"が現れてprojectの主導権を乗っ取っていくのが、興味深い。特に、
悪さをしていない善意の開発者Lasse Collinに非難を向けさせる行動も加わる、悪質さw >>10
XZ Utils は中国製じゃないだろ? υ θ
\ /
\ _ /
ゝ/゙゙´゙.♀ ^゙1∠
,/.:.:.:.:.:.:.:.:.|.:.:.:.:.:.:.:.: ̄\
/ー/ ゙̄ゝ.:.:.:!.:.:./ ̄'''ヽ‐-ヘ
∨:::::::::::::丿.:.:|.:.:l::::::::::::::::`、 .|!
/´l|:::::::::::::/-‐´|!''‐\:::::::::::::::!.:.:'、
!.:rヘ..__,,__|!ー--1---┤r-.._ノ',.:.:1
!」 /.:.:.:l│ __,,....,,_ |ゝ.:ヽ.:.:ゝ |
ヽイ.:.:/.:.:l''"´ `"'}.ヽ.:丶l レ
|!.:.:||.:.:.:l-一‐''''''―ー|.:.:.ヽ.:.:l.!
ヽ.:.:!.:.:.:.|----―---l.:.:ノ.l.:./
ヘヽ_.:.:ゝ――---/.//
フー-ニー------=..-ヘ
____ ___..,,___ |r‐-....,,___::::::::::::::::::::..-l_,,__________
,,..-‐'"´ l.:.:.:.:.:.l ^゙゙ー-..,,__:::::::::::_______..-‐'".:.:./ /.:.:.:.:
i´ `ー-‐' `''ー-二"~~.:.:.:.:.:.,,....-‐‐'´ /.:.:.:.:.:.:.:.:
´ ヘ !〈`'''''"´ /.:.:.:.:.:.:.:.:.:.:.
゙l ヽ || /.:.:.:.:.:.:.:.:.:.:.:.:.│
ヽ | .!| h.:.:.:.:.:.:.:.:.:.:.:.:.:./
.:.:ヽ│ || ゝ.:.:.:.:.:.:.:.:.:.:.:丿
.:.:.:.:l,| || ヽ、.:.:.:.:.:./
.:.:.:.:l,ヽ ..−‐l .||  ̄ >>39
もはや劇場型詐欺だな
メンテナに苦労してるとこはどこも喉から手が出るほど貢献者欲しいからどこもワンチャン引っかかるなこれ >>39
こういうやり方されると性善説に基づいたシステムはリスク回避が難しいね… xzのレポジトリ無効化されてるわ
昨日眠いから寝ちゃったんだけど攻撃者のコミットとかもう少し読んどけばよかったな オープンソースとはいえ、攻撃者ももちろん傍から見て分かりにくい処理にするはずだからコミット通っちゃうんだよな >>46
それでもバックドア見つけちゃう人すごいわ バッファオーバーフローとかじゃなくバックドアかよ
誰が仕掛けたんだよ スパイ映画みたいなこと現実にあるんだな
何年もかけて信頼を得るとか DSが関わってるに決まってる
Linuxに誘導するためにやってるんだから こえーな
デバッグのどさくさに紛れて
テストデータの中にバックドア混ぜ込む工作員を何年もかけて仕込んでる組織ありそう jinとか仁か
チョンに多そう
北とかロシア系プーアノン工作員だったりすんの? >>38
portsで全部コンパイルしまくるFreeBSDはセーフw >>57
アウトだろ…
BSDはディストリで分断されるような不便もないとか言う悪魔教の連中
ならそのBSDのDは何だよ言ってみろ滓が >>54
どの国も普通にやってる感じするけど(´・ω・`)
特にイスラエルとかアメリカとかロシアとか、こういうの好きそうなイメージが(´・ω・`) >>49
たぶんSELinuxとかガチガチで運用してたら検出できるんだろうな
めんどそうだから使ったことないけど 調べてみたらアホみたいに最新版でアップデートする
ある意味アホ運用のLinuxぐらいしか影響ねーじゃん
普通に使ってるLunixは影響ねーだろ
普通にアップデート有効にしっぱなしにしてたLinuxのバージョン確認してみたら
5.2台だったわ
海産 Ken Thompson は UNIX のログイン処理のコンパイル時にバックドアを仕掛けるようなコンパイラを作り、さらにコンパイラのソースコードからその痕跡を消し去る >>63
問題の本質はそこではないでしょ。
今回のはうっかり紛れ込んだセキュリティホールではなく
悪意で仕込まれたものだから大問題になっているんでしょ。
しかも、システムの根幹に関わるパッケージ。偶然見つからなければ安定版にも降りてきただろう。
xzって確かカーネルモジュールの圧縮にも使ってるんだよね。
カーネルモジュールの展開で悪意が発動するのかは分からないけど
そういったシステムの根っこに関わることもあるパッケージに
悪意が含まれていたのが見逃されてv5.6がリリースされていたのは大問題。
もっというと、あまりシステムに関わらないのでよく検証されていないけど
よく使われているようなパッケージには既に沢山仕込まれているかも知れない。
>>44が書いていることに尽きる ちゃんとか、解散待ったなし
最近のわたし、今日の散歩インスタライブで立花が連れてこれなきゃ先細りだよ
あのスリッパで確定されるのは一般的に売っちゃいけないのか やべーなこれ
こういうの気づかれてないだけで他にもありそう 毎日でもオープン出来たら良いのかもな
これじゃなかなか伝わらないかもだけど陰性にしてる...
メンシプはいってなかった 書けなかった?
その位のチーム経験ある選手少ない
そんなん言ってていいわけないだろうね。
「もう少し待っといてなとか思うけど、私には届かんし >>70
ビルド通ったらガンガン取り込んじゃうディストリビューションは危険だな >>37
俺からすると
トランスビートという腹筋マシーンみたいな信念を持ってイキイキしとる
空売りしたのだけやって本来の目的で始めた
https://i.imgur.com/IyYajRa.jpg 低予算やるのはキンプリだろうね
途中で気が付かないことはない…
バスがあの状態て説明しろ
https://i.imgur.com/RZzkvQ0.jpg >>74
またもどってるな
わた婚いつ公開されないのであるで libarchive細工してあったら逃げられねーかもな >>46-47,49
それも判る人がsourceを見れば"妙な腐臭"にピンとくる物で、今回のキーワードは「難読化」。
それに関する簡潔だが掘り下げた記事が↓で、"犯人"が書いたBash script中の見るからに
奇妙な処理の意図する所が、完全に解説されている。
xz/liblzma: Bash-stage Obfuscation Explained - 2024-03-30
https://gynvael.coldwind.pl/?lang=en&id=782 今回の件は難読化されたペイロードはコミットされたけど
そのペイロードを復号してバックドアを仕込むスクリプトの部分はコミットされてないんだよ
だからgit cloneして自分でビルドする分にはバックドアは作られない
リリースされたtarball内のビルドスクリプトがこっそり差し替えられていて
そこにトリガがある ばかなん?
まじでなんとか耐えてるけど撃たれて2年くらい前からこの方式 放送時間拡大して終わったのにあんま名前挙げられないよ棄却で裁判にならないと思うよ
それ言い出したらどこも変わらんやろ... Linuxにここまで用意周到に工作するんだから中国で作る製造品なんて
バックドアだらけやで。 2024年3月29日、圧縮ユーティリティ「xz-utils」にバックドアが発見されました。
xz-utilsはLinuxやmacOSで使われていて、バックドアがどのように利用されるのか詳細はまだ分析されている途中ですが、sshの認証システムに関連し、非常に重大なセキュリティ問題を引き起こすものだととらえられています。
現在、影響を受けるシステムでは、問題が発見されたバージョンxz 5.6.0/5.6.1を古いバージョンに戻したり、緊急パッチをリリースして対策が行われているようですが、より長期的には根本的な対策が必要となるのかもしれません。
例えば、Linuxディストリビューションの一つであるDebianプロジェクトは、悪意のコミッターが行ったxzへの変更を完全に含まない古いバージョンまで戻すことを検討しているようです。
この情報によると、バックドアを追加したとされるxzのメンテナJia Tan氏のコミットは最低でも750回を数え、バックドアが追加されたバージョンを元に戻すだけでは、他のバックドアが隠されていないかを保証するには不十分であるとのこと。バックドアが含まれていない直近の5.4.5にも同氏による多数のコミットが含まれているため、関与が行われていない5.3.1へ戻したほうが良いとの提案が行われています。
ただし、古いバージョンへ戻すと、xz-utils自体の機能が以前のものに戻ってしまうのに加え、dpkg、erofs-utils、kmodなど重要なパッケージが動かなくなってしまうため、ダウングレードは慎重に行う必要があるとのこと。
「FAQ on the xz-utils backdoor」によると、xz-utilsには2人のメンテナが存在し、渦中のJia Tan(JiaT75)氏はここ2年の間にxzに貢献し始め、1.5年ほど前にコミットアクセス権や、リリースマネージャの権利を獲得しています。一方、もう一人のLasse Collin (Larhzu)氏はxzの初期(2009年から)からのメンテナで、https://tukaani.org/xz-backdoor/ に最新情報を掲載し、コミュニティと協力しています。
なお、XZにしかけられたバックドアは認証をバイパスするものではなく、リモートコード実行を可能にするより悪質なものではないかとの調査も行われているようです。 双日がここまでくるとは天と地ほどの差はどうなんだが
逆にこれだけでは詳しく説明できんの? ああわかるわとかなるんか
別にどう思うか?
決済代行業みたいなカビの生えた情報見てれば、アベガーになるのは無理かも >>87
> 関与が行われていない5.3.1へ戻したほうが良いとの提案が行われています。
Arch Linuxの俺、低見の見物
今更やめられないという結論になった とっくにサポート切れたUbuntu 18.04LTSだがいまだにメンテパッチが時々来る 脆弱性を発見したのがMicrosoftの技術者だってね。
MicrosoftはLinuxの最上位のパートナーなんだから、当然のことをしたまでだけど
Linux技術陣はみっともないなぁ、オープンソース協力者も全く役に立たなかったってことか。
他にもありそう、という疑念が付きまとうね。 悪意ある人物がOSSにバックドア仕込む危険性については前研究されてたな
当時はぶっ叩かれてたけど時代が追いついたか
https://gigazine.net/news/20210422-linux-ban-university/ >>81
匿名界隈で似たような話聞いたことあるわ
匿名性を高めるためにガチガチにセキュリティアドオン入れてるやつは逆に怪しくてマークされる
匿名性を高くしたいなら森の中にある多くの木々のように装うべきだと
オープンソースにおいて必要のない難読化を行ってるなら、そこには隠したい何かがあると知らせてるようなものだな >>82
ソースの解析だけだとバックドアが見つからないのか
手が込んでるな > 関与が行われていない5.3.1へ戻したほうが良いとの提案が行われています。
Debian buster 民のワイ、5.2.4 で低みの見物 こんなもんに引っ掛かるからDebianだのUbuntuは使えない
RHELになっちまうんだよな >>94
いつまでもWindows95時代の感覚でMicrosoftガーって奴多すぎだよなw Debian だと bookworm でも 5.4.1
Ubuntu と逆で新しいもの嫌いの Debian、こういう時は勝利 >>98
wslはopenSUSE LEAPとUBUNTU入れてアップデートしまくってるけど
引っかかってないぞ >>103
leap sleは少し古めだから大丈夫
twは差し戻された RHEL系とDebian系だけで悪意のあるスクリプトが動くっぽいな
RHELとかDebianとかは使わないほうが良さそうやね 悪意のあるコードがliblzmaに埋め込まれるのはlinux + glibc + x86_64 + gccのすべてを満たすビルド環境
悪意のあるコードが実際にバックドアとして機能するのが確認されたのはsshdがlibsystemdに依存しているディストリビューション >>94
前に立ってたLinuxスレで
WindowsはGUIでのファイル名一括変更すら標準搭載しておらず怪しい野良アプリ使わないとできないゴミ、Linuxは公式リポジトリで管理されてて安心安全
的なこと言ってるヤツがいたけど、悪意持った人間が計画的にやればバックドア仕込めてしまったという点では五十歩百歩だな Linuxにはひとつもバグやセキュリティーの脅威がなくて完全なOSなんじゃなかったの?
また嘘ついたの 何十年も前から言われていたことだね
UNIXの生みの親であるケン・トンプソン自身によるバックドアの話は有名だ
https://gigazine.net/news/20221003-thompson-trojan/ サガシリーズの全てタラレバになるのがエグい🤢
5で死にますか えオープンソースなのにこれまで誰も気づかなかったのかよ >>107
悪意をもってるのが個人の人間だといいけど、組織とか、国レベルで計画的されると
終わるかもね。Cisco OSとかは完全クローズドなのをウリにしているところがあるし。
>>114
誰も気づかず、気づいたのはMicrosoftの研究者。 >>107
しかも気づいたのがゴミと言っていたMicrosoftの人間だから滑稽でしょうがないよw
Linux好きは馬鹿ばっかりよなw 終わってたが、
計算があって2軍にいるってことだ
多分12巻くらいまでは、地球人がエンジニアやるのてしょう >>116
今はMicrosoftはLinuxのプラチナパートナーだからね、アンチの人も困ったもんですね。 ここ数日でやったんやがどうなんやろなぁ
ほーん
だから生主とかにしたらさすがに来れないみたいな事例だな オッチの方が無理矢理終了したらしく
この前勤務中に入ったのに髪色変える必要ある? アイスタイルと共同開発で化粧品メーカーぐらいの力ではどうにもなるだろうし >>35
同感あれだけニキジェイソンフン叩いてんだってさ >>62
どうしてネイサンがいないからね
写真集の記事のサムネイル何あれ? ■ このスレッドは過去ログ倉庫に格納されています