おはようございます。
Posting Kuropen(@kuropen@mi.kuropen.org)
このサーバーの主で本職はWebプログラマー。東京とさいたまと会津を行ったり来たりしている。現況身内専用サーバーにつき積極的にフォローします。
アウトプットが苦手な性格ですが少しずつがんばります。
#FF14: Polaris Solaris @ Titan
趣味: 一人旅(御朱印集め), 自作PC, ビデオゲーム(RPG/SLG), ウォーキング, ドライビング and more
サーバーからのお知らせは @info をご確認ください。
こちらに記載されたサーバーから当アカウントへのリプライ等は届きません。
archlinux@fosstodon.org
This account is not set to public on notestock.
Debian, Fedoraは不安定版を使用している場合 xz のバックドアの影響ありか
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://lists.debian.org/debian-security-announce/2024/msg00057.html
CVE番号としては CVE-2024-3094
https://security.archlinux.org/ASA-202403-1
https://aws.amazon.com/jp/security/security-bulletins/AWS-2024-002/
RE: https://mi.kuropen.org/notes/9rgqk4jd36
[ Windows 11 24H2から導入される新Copilotには40 TOPsが必要。Intel幹部が口を滑らす ]
https://gazlog.jp/entry/microsoft-copilot-40tops/
Intelが現時点で投入しているMeteor Lakeは10 TOPs、AMDのRyzen 8040シリーズで16 TOPsと40 TOPsには届きません。唯一、2024年春以降に発売されるQualcommのSnapdragon X Eliteが45 TOPsでこの要件を超えられるほか、Lunar Lakeも40 TOPsを目指して開発が進められています。
ですよね~
https://gazlog.jp/entry/microsoft-copilot-40tops/
ただ、この40 TOPsと言う数値は過去のリークにてGPU含めての値に緩和されたという話もあるため、Ryzen 8040でもNPU+GPUを合わせてもギリギリ39 TOPsですが、ディスクリートGPU、例えばRTX 3060で100 TOPs程度ですのでデスクトップやゲーミングノートパソコンではCopilot機能の多くがローカルで利用できそうです。
ゲームしなくてもdGPU搭載推奨という時代が来るのか
@yuicho@mstdn.yuicho.net とりあえずDebianは、不安定版で5.6.1を取り込んで、そこで異常を検知して今回の件の発覚に繋がったようですが、ユーザー向けには「5.6.1を名乗りつつ中身は5.4.5」というパッケージをリリースして対応したようですね。
なので5.4系以前は問題ないという判断になるかと思います
https://lists.debian.org/debian-security-announce/2024/msg00057.html
This account is not set to public on notestock.
日本ではクレジットカードの分割・リボ払いの利用が少ないから金利手数料収入が少なくて、クレジットカード会社が収益を加盟店手数料に依存している面があるから手数料を下げられないみたいな話が…
PayPayは国などのキャッシュレス還元に合わせて、プロモーションのために赤字百も承知で手数料下げてたというし
なお日本ではVISA/Masterの手数料はJCBより安いという話もある
内容の精査は必要だと思うけども。
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
xzの件、これ読んでると明らかな破壊工作って感じもするなあ…
無論これの内容を全面的に信用するでもないが。
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
OSSで、開発者がメンテナーを続けられなくなったなどの場合に、悪意のある人物が引き継いで大変なことになったという話は他にも聞く。
This account is not set to public on notestock.
Formula E、あと2時間弱で予選だけど、これは荒れそうだなあ…
昨日のFP1はJ SPORTSで見ていたけど確かにその時ほどではないようだ、というかあれから雨降ってないはずだしそうだったら困る
※FP2の日程を失念していてラストだけ見た
フォーミュラEの予選は独特の形式で、出走ドライバーを前戦までのランキングに基づいて2グループに分けてのQ1を行った後、各グループ上位4台(計8台)が参加するタイムアタック一発勝負のトーナメント戦を行って最終的なグリッドを決める方式。だから荒れそう
This account is not set to public on notestock.
トーナメント戦進出者:ファイナル勝者はポールポジション、ファイナル敗者は2番グリッド、セミファイナルまでに脱落したドライバーは3・4番グリッド、トーナメント初戦敗退は5~8番グリッド。ただし最後に走ったセッションでのタイム順。
Q1でノックアウトされたドライバー:そのグループからトーナメント勝者が出た場合は奇数グリッド、そうでない場合は偶数グリッドにQ1でのタイム順に並ぶ。
トーナメント戦進出者:ファイナル勝者はポールポジション、ファイナル敗者は2番グリッド、セミファイナルで脱落したドライバーは3・4番グリッド、トーナメント初戦敗退は5~8番グリッド。ただし最後に走ったセッションでのタイム順。
Q1でノックアウトされたドライバー:そのグループからポールシッターが出た場合は奇数グリッド、そうでない場合は偶数グリッドにQ1でのタイム順に並ぶ。
Gentoo Linuxでは、xz-utilsのバージョン5.4.3以降を、悪意のあるメンテナーによって署名されているためインストール禁止としている
https://packages.gentoo.org/packages/app-arch/xz-utils
This account is not set to public on notestock.
これだ。2018年のnpmパッケージ「event-stream」を悪意のある面テナーが引き継ぎ、暗号資産ウォレットのアカウントを収集するコードが挿入された事件。
https://gigazine.net/news/20181127-event-stream-bitcoin-stealing/
https://github.com/dominictarr/event-stream/issues/116
RE: https://mi.kuropen.org/notes/9rgskbi73u
これだ。2018年に発生した、npmパッケージ「event-stream」を悪意のあるメンテナが引き継ぎ、暗号資産ウォレットのアカウントを収集するコード(正確にはそのようなコードが挿入されたライブラリへの依存関係)が挿入された事件。
https://gigazine.net/news/20181127-event-stream-bitcoin-stealing/
https://github.com/dominictarr/event-stream/issues/116
RE: https://mi.kuropen.org/notes/9rgskbi73u
#Gentoo 使いはxz-utilsのバックドアに対処をお願いします
"Gentoo(Portage)の履歴
2/24 5.6.0が追加(Stabilizeされないまま後にdrop)
3/10 5.6.1が追加
3/24 5.6.1がStabilize
3/30(ついさきほど) 5.6.0以降がマスクされ、5.4.2が復帰
というわけで、3/24~3/30の間にemerge -uしたGentooユーザーは危険に晒されています。"
https://twitter.com/shimariso/status/1773868518729200051
This account is not set to public on notestock.
This account is not set to public on notestock.
This account is not set to public on notestock.
デフリースが止まっているところにバードがスピンというシーンはひやっとしたな
放映権のある放送局のある国では公開されない動画ですね
※J SPORTS(BS・オンデマンド)、今回の東京ラウンドに限りフジテレビ(地上波・BS)も
RE: https://jiskey.dev/notes/9rh08i5sblij0cjk
GitHub の xz のリポジトリ自体が規約違反として凍結されているという情報
キャシディは技術規定違反でタイム抹消となったと。これによりエヴァンスが繰り上がりでデュエルズへ
https://twitter.com/FIAFormulaE/status/1773889045262692515
基本的に「安定版」のディストリビューションを使っている場合はほぼほぼ大丈夫じゃないかと。
ローリングリリースのディストリビューションかつ頻繁に更新している場合みたいなのが危ないみたいですね
RE: https://jiskey.dev/notes/9rh1dl02blij0cl5
This account is not set to public on notestock.
一応このサーバーは Ubuntu 22.04 で、xz-utilsのバージョンは5.2.5系なのでおそらく今回のサプライチェーン攻撃の影響は受けない。
https://packages.ubuntu.com/jammy/xz-utils
2023年以降にリリースされたディストリビューションだと、リバートが必要になる幅によっては致命的な問題になるかもなあ…
※実際、Ubuntuに関しては、OSベンダーから CVE-2024-3094 に関する情報は現時点で公開されていない。
RE: https://mi.kuropen.org/notes/9rh6zhvv7f
フォーミュラE決勝:
フォーメーションラップはなし。実際のグリッドより2個後のダミーグリッドから前進してのスタンディングスタート。
レース中のタイヤ交換はなし。特定のコーナーでアウト側を通過することで一時的にモーター出力を向上させる「アタックモード」があり、各ドライバーはレース中に2回入らなければならない。
レース中にSC/FCYが出た場合、その継続時間に応じてラップ数が追加されることがある。
レース終了時にバッテリー消費量が規定を上回っていたり、アタックモードを使い切っていなかったりした場合はペナルティの対象になる。
This account is not set to public on notestock.
よくすみだリバーウォークからスカイツリーまで歩いているんだけど、空撮してみると隅田川とスカイツリーって結構離れてるんだよな
マクラーレン2台ピットイン
バードはステアリング、ヒューズはフロントノーズ交換
アタックモードは今回8分間で、1回目に入るときに何分使うか選択でき、2回目は残り時間全てを使う。チェッカーフラッグを受けた時点でアタックモードの残り時間がゼロになっていないとペナルティを受ける。
なお、SC/FCY中は、すでに入っているアタックモードの残り時間は消化されるが、レース再開まで新たにアタックモードに入ることはできない。
SC/FCY 3分10秒ごとにレースは1周延長。この影響で何周追加されるかは残り3周になった時点で発表されます
J SportsのFormula Eのコメンタリーがよく自転車競技に例える、ラップリーダーをわざと譲って風除けに使う戦術?
※J SportsのFormula E実況者はサッシャ氏(他カテゴリーとの日程被りがない限り)で同局の自転車競技の実況も担当
This account is not set to public on notestock.
中継映像だと終盤になったら各車のバッテリー残量が出たりするのでその辺がポイントになるのがよくわかるけど確かに現地に見に行くとその辺わかりにくいかもしれない
延長ラップ数が発表された後は仮にSC/FCYが出てもそれ以上の延長はありません
日産惜しかったというのと、ニック・キャシディが19番グリッドからのP8すごい
セーフティーカーやフルコースイエローで低速走行になってしまうとその分バッテリーが「節約できてしまう」ので、長引いた場合にレースを延長という感じですね。
そしてバッテリーが0%切っても実際には走れるのですが、レース終える前に0%切った場合は失格になります。そのギリギリのラインから各車逆算しているのではないかと思います
RE: https://misskey.dev/notes/9rhb4cus8p
で、モルタラの失格に伴いフェネストラズが繰り上げ10位で日産ダブル入賞か
This account is not set to public on notestock.
J Sportsコメンタリー曰く、トロフィー授与後に国際映像が切られたとのこと。表彰式はJ Sportsは自社カメラで中継継続中
フォーミュラEの次戦はイタリア・ミサノでの2連戦
ラウンド6 4月13日 / ラウンド7 4月14日
各日 予選17:00 決勝22:00 (JST)
悪意持ったコミッターが急に来てコード混ぜこんでましたよ、とかならまだええんよ。
今回の件、関わってる(とされている)ユーザーは2年近くに渡ってコミットし続けてるわけで、まだ見つかってないものが仕込まれてる可能性もかなり高いはず。
直近のバージョン以下なら安全みたいな話になってる状況を考えると、調査のためにもリポジトリは開いとくべきだった。
マルウェアを配布しないためなら、releaseページだけ止めればよかったのでは 
releaseページだけを止めるということが現実的に可能なのかどうかは別にして、リポジトリを閲覧不能にすることが監査妨害につながる危険性をGitHubが考慮していたかどうか、その上でアクセスを止めることにした判断プロセスがどうなのかというのは気になるところではある
Debianでは件のメンテナが関わる以前のバージョン(5.3.1)に戻すべきとの議論もされているが、これによってパッケージマネージャー dpkg を含む複数のパッケージの依存関係を破壊してしまうことや、 CVE-2022-1271 などの脆弱性対応もリバートしてしまうことになるデメリットもあると
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1068024
マルウェアはリポジトリ内に生で置かれている圧縮ファイルの中に潜んでいるので、ファイル一覧を非表示にせざるを得ないという判断はわからなくもない
これだ。2018年に発生した、npmパッケージ「event-stream」を悪意のあるメンテナが引き継ぎ、暗号資産ウォレットのアカウントを収集するコード(正確にはそのようなコードが挿入されたライブラリへの依存関係)が挿入された事件。
https://gigazine.net/news/20181127-event-stream-bitcoin-stealing/
https://github.com/dominictarr/event-stream/issues/116
RE: https://mi.kuropen.org/notes/9rgskbi73u
汎用性の高いOSSのメンテナが虎視眈々と、しかも気付かれにくいようにバックドア仕込むの中々怖い
Tokyo E-Prix 結局ナトの5秒ペナルティが取り消されたためナトが6位になり、キャシディが8位、フェネストラズは入賞圏外の11位に。このため選手権順位はウェアラインが逆転した形に。
もっとも狭いコースでの19番グリッドともなれば、8位に入って首位を2ポイント差で追いかけるという状況でもかなりよかったのかもしれない。
紅麹、台湾に輸出してたんかい…
https://newsdig.tbs.co.jp/articles/-/1085562?display=1
PLLとSUPER GT開幕戦予選がかぶる…予選はスキップですな
https://jp.finalfantasyxiv.com/lodestone/topics/detail/606545508a6c39603568e8570e09a8eb99cde1dc
This account is not set to public on notestock.
