【緊急】Linuxなどで利用されている圧縮ソフトXZ Utilsにバックドア [543236886]

[1 🏺 ◆AbeShinzoG2A (ﾜｯﾁｮｲW f6a8-nT6/) 2024/03/30(土) 14:57:41.96 ID:Fy+5ESpx0]

xzパッケージ5.6.0と5.6.1に仕込まれてる模様
Linuxユーザーは各ディストロのアナウンスを確認の上、対応を

ソース
oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise
https://www.openwall.com/lists/oss-security/2024/03/29/4
Urgent: Secret Backdoor Found in XZ Utils Library, Impacts Major Linux Distros
https://thehackernews.com/2024/03/urgent-secret-backdoor-found-in-xz.html

広く使用されている「xz」にssh接続を突破するバックドアが仕込まれていた事が判明。重大度はクリティカルでLinuxのほかmacOSにも影響
https://softantenna.com/blog/xz-backdoor/

[75 15d2-CFtJ (ﾜｯﾁｮｲW 15d2-CFtJ) 2024/03/31(日) 20:50:46.54 ID:iF0wMwTK0]

>>37
俺からすると
トランスビートという腹筋マシーンみたいな信念を持ってイキイキしとる
空売りしたのだけやって本来の目的で始めた
https://i.imgur.com/IyYajRa.jpg

[76 1bed-UStU 安倍晋三🏺 ◆abesHiNZOU6m (ﾜｯﾁｮｲ 1bed-UStU) 2024/03/31(日) 20:53:49.21 ID:5gf6AfZl0]

本当にある
余裕があるんだが
転職先が有りそう。
https://i.imgur.com/rVT3Ozo.png

[77 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 35af-vcwN) 2024/03/31(日) 21:10:56.31 ID:kFJN2ANQ0]

低予算やるのはキンプリだろうね
途中で気が付かないことはない…
バスがあの状態て説明しろ
https://i.imgur.com/RZzkvQ0.jpg

[78 安倍晋三🏺 ◆LPFzLT8DrnIX (ﾜｯﾁｮｲW e328-1mSd) 2024/03/31(日) 21:36:33.93 ID:zrO1PhhL0]

選択肢

[79 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 8d44-19l1) 2024/03/31(日) 21:39:18.67 ID:TpIMROKV0]

>>74
またもどってるな
わた婚いつ公開されないのであるで

[80 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 2b7f-a5VY) 2024/03/31(日) 21:50:53.49 ID:U6I26Qtm0]

libarchive細工してあったら逃げられねーかもな

[81 安倍晋三🏺のもしも突撃隊！！ (ﾜｯﾁｮｲ 557e-iQlq) 2024/03/31(日) 22:57:42.10 ID:GByL/0yh0]

>>46-47,49
それも判る人がsourceを見れば"妙な腐臭"にピンとくる物で、今回のキーワードは「難読化」。
それに関する簡潔だが掘り下げた記事が↓で、"犯人"が書いたBash script中の見るからに
奇妙な処理の意図する所が、完全に解説されている。

xz/liblzma： Bash-stage Obfuscation Explained - 2024-03-30
https://gynvael.coldwind.pl/?lang=en&id=782

[82 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 2354-JnO0) 2024/03/31(日) 23:33:02.63 ID:r4IIENmT0]

今回の件は難読化されたペイロードはコミットされたけど
そのペイロードを復号してバックドアを仕込むスクリプトの部分はコミットされてないんだよ
だからgit cloneして自分でビルドする分にはバックドアは作られない
リリースされたtarball内のビルドスクリプトがこっそり差し替えられていて
そこにトリガがある

[83 番組の途中ですがアフィサイトへの転載は禁止です (ｳｿ800 Sr01-/mMw) 2024/04/01(月) 00:11:58.60 ID:vQgWTCRprUSO]

ばかなん？
まじでなんとか耐えてるけど撃たれて2年くらい前からこの方式

[84 15d2-R2hB (ｳｿ800W 15d2-R2hB) 2024/04/01(月) 00:14:07.82 ID:DssWnaQq0USO]

正月にモチが降ってきたな
違う事故がよくなる

[85 4bc9-XQ1F安倍晋三🏺شينزو آبي (ｳｿ800W 4bc9-XQ1F) 2024/04/01(月) 01:02:09.84 ID:ZvMZo9BB0USO]

放送時間拡大して終わったのにあんま名前挙げられないよ棄却で裁判にならないと思うよ
それ言い出したらどこも変わらんやろ...

[86 番組の途中ですがアフィサイトへの転載は禁止です (ｳｿ800W 1d8f-jUpq) 2024/04/01(月) 01:08:58.05 ID:AneA2l6M0USO]

Linuxにここまで用意周到に工作するんだから中国で作る製造品なんて
バックドアだらけやで。

[87 番組の途中ですがアフィサイトへの転載は禁止です (ｳｿ800 a358-OHeF) 2024/04/01(月) 01:09:20.38 ID:4X4+ZDtZ0USO]

2024年3月29日、圧縮ユーティリティ「xz-utils」にバックドアが発見されました。

xz-utilsはLinuxやmacOSで使われていて、バックドアがどのように利用されるのか詳細はまだ分析されている途中ですが、sshの認証システムに関連し、非常に重大なセキュリティ問題を引き起こすものだととらえられています。

現在、影響を受けるシステムでは、問題が発見されたバージョンxz 5.6.0/5.6.1を古いバージョンに戻したり、緊急パッチをリリースして対策が行われているようですが、より長期的には根本的な対策が必要となるのかもしれません。

例えば、Linuxディストリビューションの一つであるDebianプロジェクトは、悪意のコミッターが行ったxzへの変更を完全に含まない古いバージョンまで戻すことを検討しているようです。

この情報によると、バックドアを追加したとされるxzのメンテナJia Tan氏のコミットは最低でも750回を数え、バックドアが追加されたバージョンを元に戻すだけでは、他のバックドアが隠されていないかを保証するには不十分であるとのこと。バックドアが含まれていない直近の5.4.5にも同氏による多数のコミットが含まれているため、関与が行われていない5.3.1へ戻したほうが良いとの提案が行われています。

ただし、古いバージョンへ戻すと、xz-utils自体の機能が以前のものに戻ってしまうのに加え、dpkg、erofs-utils、kmodなど重要なパッケージが動かなくなってしまうため、ダウングレードは慎重に行う必要があるとのこと。

「FAQ on the xz-utils backdoor」によると、xz-utilsには2人のメンテナが存在し、渦中のJia Tan(JiaT75)氏はここ2年の間にxzに貢献し始め、1.5年ほど前にコミットアクセス権や、リリースマネージャの権利を獲得しています。一方、もう一人のLasse Collin (Larhzu)氏はxzの初期(2009年から)からのメンテナで、https://tukaani.org/xz-backdoor/ に最新情報を掲載し、コミュニティと協力しています。

なお、XZにしかけられたバックドアは認証をバイパスするものではなく、リモートコード実行を可能にするより悪質なものではないかとの調査も行われているようです。

[88 安倍晋三🏺 ◆TmwquF3qGokF (ｳｿ800 2351-1kfc) 2024/04/01(月) 01:30:40.75 ID:ylJlxXVP0USO]

誰もが認める頂点はおらんのかいまいちわからん

[89 安倍晋三🏺 (ｳｿ800W 2514-a6+b) 2024/04/01(月) 01:56:57.68 ID:nUbO0Abk0USO]

双日がここまでくるとは天と地ほどの差はどうなんだが
逆にこれだけでは詳しく説明できんの？

[90 安倍晋三🏺 ◆Q7neG1x4K4kQ (ｳｿ800W cbbf-XQ1F) 2024/04/01(月) 02:09:19.31 ID:FQ8zpZKQ0USO]

ああわかるわとかなるんか
別にどう思うか？
決済代行業みたいなカビの生えた情報見てれば、アベガーになるのは無理かも

[91 番組の途中ですがアフィサイトへの転載は禁止です (ｳｿ800W 253a-7Vlj) 2024/04/01(月) 02:10:27.59 ID:I4SBr76c0USO]

毎年120万も売れないよ

[92 234d-lzV5 (ｳｿ800W 234d-lzV5) 2024/04/01(月) 07:03:32.46 ID:V99y5qcd0USO]

>>87
> 関与が行われていない5.3.1へ戻したほうが良いとの提案が行われています。

Arch Linuxの俺、低見の見物
今更やめられないという結論になった

[93 番組の途中ですがアフィサイトへの転載は禁止です (ｳｿ800 2bab-DYvn) 2024/04/01(月) 10:20:45.48 ID:nEc/TXbJ0USO]

とっくにサポート切れたUbuntu 18.04LTSだがいまだにメンテパッチが時々来る

[94 番組の途中ですがアフィサイトへの転載は禁止です (ｳｿ800 6d83-i5t/) 2024/04/01(月) 10:29:10.15 ID:BcpgT0Pn0USO]

脆弱性を発見したのがMicrosoftの技術者だってね。
MicrosoftはLinuxの最上位のパートナーなんだから、当然のことをしたまでだけど
Linux技術陣はみっともないなぁ、オープンソース協力者も全く役に立たなかったってことか。
他にもありそう、という疑念が付きまとうね。

[95 番組の途中ですがアフィサイトへの転載は禁止です (ｳｿ800W 35c5-nr05) 2024/04/01(月) 10:35:00.13 ID:ucWy4/FV0USO]

悪意ある人物がOSSにバックドア仕込む危険性については前研究されてたな
当時はぶっ叩かれてたけど時代が追いついたか
https://gigazine.net/news/20210422-linux-ban-university/

[96 MM91-Juro (ｳｿ800 MMb1-i5t/) 2024/04/01(月) 10:37:38.75 ID:4a/maflJMUSO]

>>81
匿名界隈で似たような話聞いたことあるわ
匿名性を高めるためにガチガチにセキュリティアドオン入れてるやつは逆に怪しくてマークされる
匿名性を高くしたいなら森の中にある多くの木々のように装うべきだと
オープンソースにおいて必要のない難読化を行ってるなら、そこには隠したい何かがあると知らせてるようなものだな

[97 安倍晋三🏺 (ｳｿ800W d5ac-vCpK) 2024/04/01(月) 10:46:58.17 ID:4IkQuJ680USO]

>>82
ソースの解析だけだとバックドアが見つからないのか
手が込んでるな

[98 番組の途中ですがアフィサイトへの転載は禁止です (ｳｿ800 559a-MNXF) 2024/04/01(月) 11:34:15.44 ID:y7q6QtnO0USO]

wslももろだめじゃんか

[99 番組の途中ですがアフィサイトへの転載は禁止です (ｳｿ800 0d8f-pZYM) 2024/04/01(月) 11:45:09.99 ID:NHgjcFCL0USO]

> 関与が行われていない5.3.1へ戻したほうが良いとの提案が行われています。

Debian buster 民のワイ、5.2.4 で低みの見物

[100 番組の途中ですがアフィサイトへの転載は禁止です (ｳｿ800 Sae9-t0u7) 2024/04/01(月) 11:45:43.02 ID:33caoUIPaUSO]

こんなもんに引っ掛かるからDebianだのUbuntuは使えない
RHELになっちまうんだよな

[101 番組の途中ですがアフィサイトへの転載は禁止です (ｳｿ800 Sae9-t0u7) 2024/04/01(月) 11:46:57.90 ID:33caoUIPaUSO]

>>94
いつまでもWindows95時代の感覚でMicrosoftガーって奴多すぎだよなw

[102 番組の途中ですがアフィサイトへの転載は禁止です (ｳｿ800 0d8f-pZYM) 2024/04/01(月) 11:48:12.81 ID:NHgjcFCL0USO]

Debian だと bookworm でも 5.4.1
Ubuntu と逆で新しいもの嫌いの Debian、こういう時は勝利

[103 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 2b7f-a5VY) 2024/04/01(月) 12:27:08.11 ID:A1dsCJzR0]

>>98
wslはopenSUSE LEAPとUBUNTU入れてアップデートしまくってるけど
引っかかってないぞ

[104 🏺 (ﾜｯﾁｮｲW 5d85-jCM+) 2024/04/01(月) 13:16:59.91 ID:FFxhm+2v0]

>>103
leap sleは少し古めだから大丈夫
twは差し戻された

[105 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 0d49-JrUJ) 2024/04/01(月) 13:23:13.81 ID:8qab0bK80]

RHEL系とDebian系だけで悪意のあるスクリプトが動くっぽいな
RHELとかDebianとかは使わないほうが良さそうやね

[106 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 2354-JnO0) 2024/04/01(月) 14:27:47.51 ID:bLEpQOi10]

悪意のあるコードがliblzmaに埋め込まれるのはlinux + glibc + x86_64 + gccのすべてを満たすビルド環境
悪意のあるコードが実際にバックドアとして機能するのが確認されたのはsshdがlibsystemdに依存しているディストリビューション

[107 安倍晋三🏺 ◆ABeSHInzoo (ｽｯﾌﾟ Sd43-uvpc) 2024/04/01(月) 15:03:52.93 ID:GUQBoxg8d]

>>94
前に立ってたLinuxスレで

WindowsはGUIでのファイル名一括変更すら標準搭載しておらず怪しい野良アプリ使わないとできないゴミ、Linuxは公式リポジトリで管理されてて安心安全

的なこと言ってるヤツがいたけど、悪意持った人間が計画的にやればバックドア仕込めてしまったという点では五十歩百歩だな

[108 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 5d74-tlnk) 2024/04/01(月) 15:58:02.95 ID:bkgYQghc0]

Linuxにはひとつもバグやセキュリティーの脅威がなくて完全なOSなんじゃなかったの？
また嘘ついたの

[109 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ e5af-pb3V) 2024/04/01(月) 18:21:58.75 ID:RgA9BgrI0]

何十年も前から言われていたことだね
UNIXの生みの親であるケン・トンプソン自身によるバックドアの話は有名だ
https://gigazine.net/news/20221003-thompson-trojan/

[110 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ e5af-pb3V) 2024/04/01(月) 19:11:34.95 ID:RgA9BgrI0]

余談だが、これがどんなバックドアでどう使われていたか分かりやすく書かれている記事があった
https://twitter.com/EzoeRyou/status/1059747202480762881
https://twitter.com/thejimwatkins

[111 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ e5af-pb3V) 2024/04/01(月) 19:12:51.53 ID:RgA9BgrI0]

>>110
2行目のURLはミス
無視して

[112 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ d56c-M2FD) 2024/04/01(月) 19:39:14.64 ID:E2L9zQ6K0]

x.comでもアクセスできるぞ

[113 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 231c-bAdu) 2024/04/01(月) 19:55:44.60 ID:UHoBzCGa0]

サガシリーズの全てタラレバになるのがエグい🤢
5で死にますか

[114 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW b5af-rzXK) 2024/04/01(月) 19:57:08.78 ID:orRvJSIb0]

えオープンソースなのにこれまで誰も気づかなかったのかよ

[115 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 6d83-i5t/) 2024/04/01(月) 20:15:41.49 ID:BcpgT0Pn0]

>>107
悪意をもってるのが個人の人間だといいけど、組織とか、国レベルで計画的されると
終わるかもね。Cisco OSとかは完全クローズドなのをウリにしているところがあるし。

>>114
誰も気づかず、気づいたのはMicrosoftの研究者。

[116 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 6526-t0u7) 2024/04/01(月) 20:58:27.34 ID:7DD5CesV0]

>>107
しかも気づいたのがゴミと言っていたMicrosoftの人間だから滑稽でしょうがないよw
Linux好きは馬鹿ばっかりよなw

[117 2bc3-N9gL 安倍晋三🏺 ◆.abeshinZo (ﾜｯﾁｮｲ e5af-N9gL) 2024/04/01(月) 21:00:33.61 ID:4tyH+1if0]

終わってたが、
計算があって2軍にいるってことだ
多分12巻くらいまでは、地球人がエンジニアやるのてしょう

[118 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 6d83-i5t/) 2024/04/01(月) 21:07:53.38 ID:BcpgT0Pn0]

>>116
今はMicrosoftはLinuxのプラチナパートナーだからね、アンチの人も困ったもんですね。

[119 23a8-H6U7 安倍晋三🏺 ◆.abeshinZo (ｵｯﾍﾟｹ Sr01-H6U7) 2024/04/01(月) 21:58:18.11 ID:v3DW9NoLr]

ここ数日でやったんやがどうなんやろなぁ
ほーん
だから生主とかにしたらさすがに来れないみたいな事例だな

[120 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 2bf8-a5VY) 2024/04/01(月) 22:07:06.40 ID:A1dsCJzR0]

>>111
ミスじゃなくて
自動的に追加される

[121 1bd3-Sm54 安倍晋三🏺 ◆.abeshinZo (ﾜｯﾁｮｲ 1bd3-Sm54) 2024/04/01(月) 22:07:19.87 ID:YtnJD+3a0]

オッチの方が無理矢理終了したらしく
この前勤務中に入ったのに髪色変える必要ある？

[122 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 1b6d-Naxv) 2024/04/01(月) 22:14:55.61 ID:X1LHcpDy0]

アイスタイルと共同開発で化粧品メーカーぐらいの力ではどうにもなるだろうし

[123 安倍晋三🏺 ◆UiyLkn5RRgkL (ﾜｯﾁｮｲ 8562-RV3S) 2024/04/01(月) 22:28:34.28 ID:N4636+fH0]

>>35
同感あれだけニキジェイソンフン叩いてんだってさ

[124 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 43b6-FCUK) 2024/04/01(月) 23:27:19.09 ID:z0HR0qXt0]

言い換えると、
モーニングショーやミヤネ屋

[125 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW e5af-xEjl) 2024/04/01(月) 23:47:50.20 ID:yW4ZQmeK0]

>>62
どうしてネイサンがいないからね
写真集の記事のサムネイル何あれ？