バグなの？
それかなんかハックされたとか？

>liblzma (xz パッケージの一部) にまつわるいくつかの奇妙な症状を、ここ数週間の間に
>この数週間、Debian sid インストールの liblzma (xz パッケージの一部) にまつわるいくつかの奇妙な症状 (ssh でのログインに多くの CPU
>CPU を使うログイン、valgrind のエラー) を見ていて、その答えがわかりました：
>アップストリームの xz リポジトリと xz tarball がバックドアされているのだ。
>最初、これはdebianのパッケージの危殆化だと思ったが、上流であることがわかった。
>アップストリームであることがわかりました。

主要パッケージになんか仕込まれてた？

なんか盛大なバックドアがめっかった？

インターネットが壊れたの！！

>主要パッケージになんか仕込まれてた？
>なんか盛大なバックドアがめっかった？
2年以上もxzのメンテナとして関わってた人が難読化されたバックドアを仕込んでたことがわかった
バックドアによってsshdの処理のいくつかをフックしたり上書きするからじゃあそれで何ができるか……って話
一応Debianに関してはstableには影響はないって話だけど色々と影響範囲ある感じ
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

RHELがセーフならまだなんとか…

影響がパッケージ単体によるものなのかバックドア仕込まれた手法によるものなのか…

debian だけの話なの？

もとより最近じゃあんま良くない圧縮形式じゃね？って言われて置き換えが進んでたのがまだマシか
というかだからこそ狙われたのかね

sid坊やって誰が使ってんだと思ってたけど開発者はちゃんと見てんだな…

スラドが閉鎖してからこういう情報集まる日本語サイトが無くて困ってる

もうCVEも発行されてるんだな
https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094

Xの検索で xz lang:ja だと関係ないポストの方が多くてダメだな…
liblzma lang:ja だと多少出てくるけど

jaにこだわるな

日本語じゃないと上司に食わせるソースにならないから…

何が起こるかはわからんがとりあえず使ってるディストリから何かあるまで慌てずそのままにしておく

xzのgithub上のリポジトリとリリースされたtarballにすでに仕込まれてるみたいだけど
2月にリリースされたばかりのものでそれの影響受けるのはまさにsidとか或いはロリロリリリースのディストロくらいに限られる…と思う
慌てることはない

影響デカすぎんだろ逮捕しろよ

やっぱこういうの排除できないのが怖いとこではあるな

なんだかんだOSSは悪意に弱いからな…このプロセス…何か変…って気づく変態たちに支えられてる

Sev: 1.0 criticalかー
https://nvd.nist.gov/vuln/detail/CVE-2024-3094

https://www.reddit.com/r/sysadmin/comments/1bqu3zx/backdoor_in_upstream_xzliblzma_leading_to_ssh/
でーじょーぶそう

ハニーポット作って犯人を誘い出そう