2024年3月31日 - @kuropen@mi.kuropen.orgの投稿

06:40:13 Kuropen @kuropen@mi.kuropen.org

おはようございます。

07:10:59 Kuropen @kuropen@mi.kuropen.org

Debianがダウングレードを検討している5.3.1は、xzのバージョンコードルールがApache同様の「奇数のマイナーバージョンは不安定版」なので、ダウングレードするならは5.2とすべきとGentoo開発陣
https://bugs.gentoo.org/928134#c26

RE: https://mi.kuropen.org/notes/9rhcqykp9f

https://bugs.gentoo.org/928134#c26 https://bugs.gentoo.org/show_bug.cgi?id=928134

928134 – (CVE-2024-3094) >=app-arch/xz-utils-5.6.0: backdoor in release tarballs

https://mi.kuropen.org/notes/9rhcqykp9f

Kuropen (@kuropen)

07:11:48 Kuropen @kuropen@mi.kuropen.org

Debianがダウングレードを検討している5.3.1は、xzのバージョンコードルールがApache同様の「奇数のマイナーバージョンは不安定版」なので、ダウングレードするなら5.2とすべきとGentoo開発陣
https://bugs.gentoo.org/928134#c26

RE: https://mi.kuropen.org/notes/9rhcqykp9f

https://bugs.gentoo.org/928134#c26 https://bugs.gentoo.org/show_bug.cgi?id=928134

928134 – (CVE-2024-3094) >=app-arch/xz-utils-5.6.0: backdoor in release tarballs

https://mi.kuropen.org/notes/9rhcqykp9f

Kuropen (@kuropen)

07:17:37 Kuropen @kuropen@mi.kuropen.org

UbuntuからようやくCVE-2024-3094に関する情報が出た。
Ubuntuの現行版で影響するバージョンはなし。
https://ubuntu.com/security/CVE-2024-3094

noble (24.04) での採用案はあったとのことだが、移行する前に削除されたため、実際に 24.04 で使われるのはバージョン 5.4.5。
https://packages.ubuntu.com/noble/xz-utils

https://ubuntu.com/security/CVE-2024-3094

CVE-2024-3094 | Ubuntu

https://packages.ubuntu.com/noble/xz-utils

Ubuntu – Details of package xz-utils in noble

07:52:41 Kuropen @kuropen@mi.kuropen.org

xzの件の悪意ある人物、libarchiveでも2年前に「safe_fprintf」をただの「fprintf」に書き換えるなどのコミットをしており、昨日になって実質リバートされた模様。
こちらの問題は、BSD系およびWindowsが影響を受けることになる。
https://github.com/libarchive/libarchive/pull/1609
https://twitter.com/izutorishima/status/1773979471248584707

https://github.com/libarchive/libarchive/pull/1609

Added error text to warning when untaring with bsdtar by JiaT75 · Pull Request #1609 · libarchive/libarchive

-
-Twitter

10:26:17 Kuropen @kuropen@mi.kuropen.org

2024-03-31 10:25:58 takimura@

.dev

の投稿 cv_k@misskey.dev

NTTドコモ「FOMA」「 iモード」、2026年3月でサービス終了　なぜKDDI、ソフトバンクよりも長く続いたか　専門家の見解は
https://nordot.app/1146705965092324130?c=559314306504344673

三上洋氏によるとドコモだけFOMA終了がかなり遅いのは法人需要とのこと

https://nordot.app/1146705965092324130?c=559314306504344673

NTTドコモ「FOMA」「iモード」、2026年3月でサービス終了なぜKDDI、ソフトバンクよりも長く続いたか専門家の見解は｜ J-CASTニュース

10:27:29 Kuropen @kuropen@mi.kuropen.org

そもそもKDDIの言う「3G」とはCDMA2000で、マイナー規格だからさっさと終わらせたいというのがあったわけで

10:33:59 Kuropen @kuropen@mi.kuropen.org

I have received a few emails alerting me to a LinkedIn of somebody named Jia Tan. Their bio boasts of large-scale vulnerability management. They claim to live in California. Is this our man? The commits on JiaT75’s GitHub are set to +0800, which would not indicate presence in California. UTC-0800 would be California.

https://boehs.org/node/everything-i-know-about-the-xz-backdoor

GitHubのコミットで設定されていたというタイムゾーン「UTC+0800」って北京時間では？

https://boehs.org/node/everything-i-know-about-the-xz-backdoor

Everything I know about the XZ backdoor

10:39:00 Kuropen @kuropen@mi.kuropen.org

まあ、「改変」するとしたら逆のベクトルじゃないですかね、という話

10:48:17 Kuropen @kuropen@mi.kuropen.org

PHP 8.1の開発当時に、PHPのGitサーバーに不正アクセスされてバックドアが仕掛けられるという事件（2021年3月28日）
https://gigazine.net/news/20210330-phps-git-server-hacked-backdoors/
https://news-web.php.net/php.internals/113838
※これをきっかけにPHPの開発チームは自営Gitサーバーを放棄してGitHubに移行したとのこと

こういうものが十分検証されていない可能性が高いので、いわゆる「master追随」的な運用は自分は絶対しない。