ついに英BBCが日本の「外国人技能実習制度」の実態を報道。高齢化社会の危機を迎えた日本ではこの制度を導入し、海外からの労働者に低賃金で過重労働を強いている実態を取材。厳しく批判。テレビでは報道されない驚愕の事実も明らかに。 Mig… https://t.co/7xz09rTiyk
タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
Red HatやDebianを含むLinuxディストリビューションで広く使用されている圧縮ツール「xz」の最新版に悪意のあるバックドアが含まれていた事がわかりました(Ars Technica)。 発見した開発者のAndres Freund氏は、xz version 5.6.0と5.6.1に悪意のあるコードが含まれていることが分かったと指摘しています。幸い、このバージョンは主要なLinuxディストリビューションの製品リリースでは使用されていませんが、Fedora 40やFedora Rawhide、Debian testing/unstable/experimentalなどのベータ版リリースには含まれていたそうです。 macOSのHomebrewでは、複数のアプリがxz 5.6.1に依存している事が判明し、現在xz 5.4.6へのロールバックが行われています。 悪意のある変更は難読化され、バ
Linux Daily Topics xzパッケージに仕込まれた3年がかりのバックドア、スケール直前に見つけたのはMicrosoftの開発者 “アップストリームのxzリポジトリとxz tarballsはバックドア化されている(The upstream xz repository and the xz tarballs have been backdoored)”―2024年3月29日、Microsoftに所属する開発者 Andres Freundが「Openwall.com」メーリングリストに投稿したポストは世界中のオープンソース関係者に衝撃を与えた。 backdoor in upstream xz/liblzma leading to ssh server compromise -oss-security 主要なLinuxディストリビューションにはほぼ含まれているデータ圧縮プログラ
03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており、いずれSBOMと関係する話として取り上げられると思います。 (SBOMの話、VEXの話はこちら)。 今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。 【04/01/2024 09:45更新】情報が纏まっているサイトを更新しました。また、piyologさんからリンクを貼っていただいていたので、こちらも載せています。その他、「xz –version」を実行するのもだめという話
Everything I Know About the XZ Backdoor stateevergreeninblogdate3/29/2024Please note: This is being updated in real-time. The intent is to make sense of lots of simultaneous discoveries regarding this backdoor. last updated: 5:30 EST, on April 2nd Update: The GitHub page for xz has been suspended. 2021JiaT75 (Jia Tan) creates their GitHub account. The first commits they make are not to xz, but the
本記事は4月3日21:30(JST)時点で判明している事実をまとめたものです。誤りがあればコメントでお知らせください。 本記事には誤りが含まれている可能性があります。 新しい情報があれば随時更新します。 ** 4/2 18:30 Q&Aを追加しました。 4/2 11:30 実際にバックドアが存在する環境を作成し、攻撃可能なこと、出力されるログ等について追記しました。また、攻撃可能な人物は秘密鍵を持っている必要があることを追記しました。** ところどころに考察を記載しています。 事実は~です。~であると断定し、考察、推測、未確定情報は考えられる、可能性があるなどの表現としています。 またpiyokango氏のまとめ、JPCERT/CCの注意喚起もご覧ください。 なお、各国のCSIRTまたは関連組織による注意喚起の状況は以下のとおりで、アドバイザリを出している国は少ない状況です。 概要 問題の
xz-backdoor.md FAQ on the xz-utils backdoor (CVE-2024-3094) This is still a new situation. There is a lot we don't know. We don't know if there are more possible exploit paths. We only know about this one path. Please update your systems regardless. This is a living document. Everything in this document is made in good faith of being accurate, but like I just said; we don't yet know everything abo
The Linux Foundationが2024年4月16日から18日にかけて開催したOpen Source Summit North Americaの中で、Linuxの生みの親でLinuxカーネル開発の優しい終身の独裁者としても知られるリーナス・トーバルズ氏が、Verizonのオープンソースプログラムオフィス責任者であるディルク・ホーンデル氏とともに、Linux開発と関連する問題について公開での議論を行いました。 Linus Torvalds on Security, AI, Open Source and Trust - The New Stack https://thenewstack.io/linus-torvalds-on-security-ai-open-source-and-trust/ Linus Torvalds takes on evil developers, ha
2023年3月29日に、Linuxで広く採用されている圧縮ツール「XZ Utils」にバックドアが仕込まれていることが発覚しました。このバックドアを仕込んだ「Jia Tan」と名乗る人物の正体について、プログラマーのエバン・ボエス氏がGitHubコミットなどを追いかけて分析した結果を公開しています。 Everything I know about the XZ backdoor https://boehs.org/node/everything-i-know-about-the-xz-backdoor XZ Utilsはオープンソースで開発されており、複数人から寄せられたコードをメンテナがマージする開発形態を取っていました。XZ Utilsのメンテナは長年ラッセ・コリン氏が務めていたのですが、2022年にJia Tanがコリン氏に代わってメンテナに就任。そして2024年2月23日にJia
2024年3月29日に、圧縮ツールの「XZ Utils」に、悪意のあるバックドアが仕込まれていたことが明らかになりました。どのようにバックドアが仕掛けられたのかについて、Googleのエンジニアであるラス・コックスさんが時系列順にまとめました。 research!rsc: Timeline of the xz open source attack https://research.swtch.com/xz-timeline XZ Utilsおよび設置されていたバックドアについては下記の記事で解説しています。 Red HatやDebianなどLinuxディストリビューションの組込み圧縮ツール「XZ Utils」に悪意のあるバックドアが仕掛けられていたことが発覚 - GIGAZINE XZ Utilsへの攻撃を行った「Jia Tan」という名前の攻撃者は2021年後半ごろから数年に渡ってXZ
2024年3月29日に、圧縮ツールのXZ Utilsに、悪意のあるバックドアが仕込まれていたことが明らかになりました。そのバックドア攻撃において攻撃者が使用したスクリプトについてGoogleのエンジニアであるラス・コックス氏が解説しています。 research!rsc: The xz attack shell script https://research.swtch.com/xz-script XZ Utilsへの攻撃がどのように行われたのかという時系列順のまとめは下記記事で確認できます。 XZ Utilsにバックドア攻撃が行われるまでのタイムラインまとめ - GIGAZINE コックス氏は今回の攻撃は大まかに「シェルスクリプト」の部分と「オブジェクトファイル」の部分の2つに分割できると述べました。攻撃はソースコードをコンパイルする「make」に対し、環境に応じて適切な設定を行う「con
Follow @Openwall on Twitter for new release announcements and other news [<prev] [next>] [thread-next>] [day] [month] [year] [list] Date: Fri, 29 Mar 2024 08:51:26 -0700 From: Andres Freund <andres@...razel.de> To: oss-security@...ts.openwall.com Subject: backdoor in upstream xz/liblzma leading to ssh server compromise Hi, After observing a few odd symptoms around liblzma (part of the xz package)
Posted on Monday, April 1, 2024. Updated Wednesday, April 3, 2024. Over a period of over two years, an attacker using the name “Jia Tan” worked as a diligent, effective contributor to the xz compression library, eventually being granted commit access and maintainership. Using that access, they installed a very subtle, carefully hidden backdoor into liblzma, a part of xz that also happens to be a d
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2024-04-12 07:30 すべての始まりは、Microsoftの主任ソフトウェアエンジニアであるAndres Freund氏が、「Debian Linux」ベータ版のSSHリモートセキュリティコードの実行速度が遅い理由に関心を持ったことだった。Freund氏が詳しく調べたところ、問題が明らかになり、xzデータ圧縮ライブラリーのチーフプログラマー兼メンテナーだったJia Tanと名乗る人物がコードにバックドアを仕掛けていたことが分かった。その目的は、攻撃者が「Linux」システムを乗っ取れるようにすることだ。 近年は、悪意あるハッカーがソフトウェアに不正なコードを挿入する事例が非常に多くみられる。一部のオープンソースコードリポジトリー、たとえば人気の「
2024年3月29日に発覚した「XZ Utils」というライブラリへ仕掛けられていたバックドアについて、ロシアのセキュリティ企業であるカスペルスキーが分析記事を投稿しました。 Kaspersky analysis of the backdoor in XZ | Securelist https://securelist.com/xz-backdoor-story-part-1/112354/ XZは多くのLinuxディストリビューションで使用されている圧縮ツールで、今回は特にOpenSSHのサーバープロセスである「sshd」をターゲットに攻撃が行われました。「Ubuntu」「Debian」「RedHat/Fedora」などのディストリビューションではsshdの起動時に「systemd」経由でXZが呼び出され、sshdにリモートでコードが実行できるバックドアが仕掛けられます。 今回のバックド
CVE-2024-3094 XZ Utils 5.6.0 and 5.6.1 release tarballs contain a backdoor. These tarballs were created and signed by Jia Tan. Tarballs created by Jia Tan were signed by him. Any tarballs signed by me were created by me. GitHub accounts of both me (Larhzu) and Jia Tan were suspended. Mine was reinstated on 2024-04-02. xz.tukaani.org (DNS CNAME) was hosted on GitHub pages and thus is down too. It m
2024年3月29日、圧縮ユーティリティ「xz-utils」にバックドアが発見されました。 xz-utilsはLinuxやmacOSで使われていて、バックドアがどのように利用されるのか詳細はまだ分析されている途中ですが、sshの認証システムに関連し、非常に重大なセキュリティ問題を引き起こすものだととらえられています。 現在、影響を受けるシステムでは、問題が発見されたバージョンxz 5.6.0/5.6.1を古いバージョンに戻したり、緊急パッチをリリースして対策が行われているようですが、より長期的には根本的な対策が必要となるのかもしれません。 例えば、Linuxディストリビューションの一つであるDebianプロジェクトは、悪意のコミッターが行ったxzへの変更を完全に含まない古いバージョンまで戻すことを検討しているようです。 この情報によると、バックドアを追加したとされるxzのメンテナJia T
Links / Blogs → dragonsector.pl → vexillium.org Security/Hacking: j00ru's blog lcamtuf's blog invisible things (new) invisible things (old) liveoverflow's site /dev/null's site pi3's blog icewall's blog taviso's blog pawel's blog sandeep's blog koto's blog carstein's blog zaufana trzecia strona niebezpiecznik sekurak Reverse Eng./Low-Level: rewolf's blog gdtr spinning mirrors security news rev3rse
2024年4月、Linuxディストリビューションに組み込まれている圧縮ツール「XZ Utils」に悪意あるバックドアが仕掛けられていたことが発覚した一件で、オープンソースの脆弱(ぜいじゃく)性監視を行っているOpen Source Security(OpenSSF)とJavaScriptのエコシステムに支援を行っているOpenJS Foundationは、今回の一件は単独の事象ではなく、他のオープンソースプロジェクトも標的となった広範な攻撃の一部である可能性を指摘し、警戒を呼びかけています。 Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects – Open Source Security Found
Ubuntu Weekly Topics Ubuntu 24.04 LTS(noble)の開発 / xz-utils問題(CVE-2024-3094)への対応のためのベータ延期とMilk-Vサポート noble(Ubuntu 24.04 LTS)の開発 / xz-utils問題(CVE-2024-3094)への対応のためのベータ延期とMilk-Vサポート 3月末、Linux界隈に「xz-utils(xz/liblzma)にバックドアが仕込まれている」という衝撃的なニュースが駆け巡りました。CVE-2024-3094として識別されるこの問題は、「xz/liblzmaのtarballに、悪意あるバックドアを仕込む細工が行われていた」というものです。 この問題への対応として、Ubuntuではnobleのベータリリースを一週間遅らせ、(問題のあるxz-utilsのコードを除外することはもちろん
XZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起。OpenSSFとOpenJS Foundationsが共同で Open Source Security(OpenSSF)とOpen JS Foundationは、先日発生したXZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起を行っています。 注意喚起の中では、オープンソースプロジェクトの乗っ取りをはかる動きは現在もいくつかのプロジェクトで起きつつある可能性があることが示され、ソーシャルエンジニアリングによる乗っ取りを防ぐためのガイドラインが紹介されています。 XZ Utilsのようなプロジェクトの乗っ取りはいまも起きている XZ Utilsのインシデントでは、正体不明の人物がメンテナとしてプロ
Posted on Tuesday, April 2, 2024. Updated Wednesday, April 3, 2024. Introduction Andres Freund published the existence of the xz attack on 2024-03-29 to the public oss-security@openwall mailing list. The day before, he alerted Debian security and the (private) distros@openwall list. In his mail, he says that he dug into this after “observing a few odd symptoms around liblzma (part of the xz packag
LinuxディストリビューションのDebianやRed Hatで使用されている圧縮ツールの「XZ Utils」に、悪意のあるバックドアが仕込まれていたことが明らかになりました。 oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise https://www.openwall.com/lists/oss-security/2024/03/29/4 Backdoor found in widely used Linux utility breaks encrypted SSH connections | Ars Technica https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utili
取り急ぎの記載ですが、以下のpiyoさんの記事がかなりまとまっているのでこちらを読んでいただくのが良さそうです。 https://piyolog.hatenadiary.jp/entry/2024/04/01/035321 これはなに ここ数日インターネットで騒がれたxzのセキュリティ事案について一旦自分で調べたやつです。 ついでに、こういう件の当事者(自社製品に脆弱性が見つかったり、脆弱性を発見したり)になったときどうしよう、というところも少し調べました。 xzについて調べた内容 概要と結論 Linux向けに広く利用されていたxzにsshでバックドアできる脆弱性が埋め込まれていた 対象のバージョンはxz 5.6.0, 5.6.1 5.6.1が最新なので一般的なLinuxディストリビューションでは利用されてないっぽい RedHatの一部ディストロ以外は問題ない こちらの記事が正確 XZ U
By Omkhar Arasaratnam, General Manager, OpenSSF; Bennett Pursell, Ecosystem Strategist, OpenSSF; Harry Toor, Chief of Staff, OpenSSF; Christopher “CRob” Robinson, OpenSSF TAC Chair & Director of Security Communications, Intel CVE-2024-3094 documents a backdoor in the xz package. This backdoor was inserted by an actor with the intent to include an obfuscated backdoor into the software. While the mo
Jack Wallen (Special to ZDNET.com) 翻訳校正: 佐藤卓 吉武稔夫 (ガリレオ) 2024-04-17 09:45 「XZ Utils」のバックドア問題(CVE-2024-3094)が、単発的な出来事ではない可能性が出てきた。Open Source Security Foundation(OpenSSF)とOpenJS Foundationが共同声明で明らかにした。 XZ Utilsに関する一連の出来事をまだ知らない方は、筆者の尊敬する同僚であるSteven J. Vaughan-Nichols記者が執筆した記事「XZ Utilsのバックドア問題--オープンソースのセキュリティを考える」を読んでほしい。簡単に言えば、xzデータ圧縮ユーティリティーのメンテナーだったJia Tan氏なる人物がコードにバックドアを仕掛け、攻撃者が「Linux」を乗っ取れるようにし
Red Hatは3月29日(米国時間)、「Urgent security alert for Fedora 41 and Fedora Rawhide users」において、圧縮ツールおよびライブラリーの「xz」から悪意のあるコードを発見したとして、注意を喚起した。このコードの影響を受けるライブラリ「liblzma」により、攻撃者はsshdを介してシステムに不正アクセスする可能性がある。 Urgent security alert for Fedora 41 and Fedora Rawhide users xzが抱える脆弱性の概要 発見された悪意のあるコードは脆弱性「CVE-2024-3094」として追跡されている。この脆弱性の影響を受けるバージョンは次のとおり。 xz バージョン5.6.0または5.6.1 脆弱性(CVE)の情報は次のとおり。 CVE-2024-3094 - XZ Ut
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2024-04-24 07:30 シアトル発--Linus Torvalds氏と、その良き友人でVerizonのオープンソースプログラムオフィス責任者を務めるDirk Hohndel氏が、The Linux Foundationの「Open Source Summit North America」において、「Linux」開発や関連する幅広い話題について再び意見を交わした。 両氏は対談の冒頭で、ソースコード中のタブとスペースをめぐる論争に軽く触れた。これは冗談ではなく、プログラミングの世界では重要な問題だ。ある開発者が、タブをスペース文字に置き換えて「Kconfig」パーサーがファイルを読み取れるようにしてはどうかと提案した。しかし、それは悪手だった。 Tor
おはようございます! 「そろそろ機種変更したいなぁ~」 「でも高いしなぁ~」 「いつ替えたらいいかわかんない」 そんな心の声が聞こえそうなスマホ事情。 私の現在使っているスマホが、悲鳴をあげ始めて購入を検討しております。 本日は、そんなスマホ購入にあたりお悩みまくりの記事です! 今使っているのは、XPERIA Z4! 発現した不具合達。 買いたいなと思うXperia君たち。 XPERIA X1 Xperia XZ3 お悩み記事といいながら・・ 今使っているのは、XPERIA Z4! 購入から4年が経過しました!! この機種、買った当時は、画面が大きい割に薄型で感動したものです。 ただ薄さ故かめちゃくちゃ発熱します。笑 手帳型のスマホケースに入れて使ってますが、ケース越しでもわかるくらいに熱くなるんですよね(°Д°) 元々docomoで購入し、現在はマイネオのdプランで使っています。 最低6
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く