2024-3-31
same day in other years
이전년
06:40:13
notestock 공개 페이지 링크
icon

おはようございます。

07:10:59
notestock 공개 페이지 링크
icon

Debianがダウングレードを検討している5.3.1は、xzのバージョンコードルールがApache同様の「奇数のマイナーバージョンは不安定版」なので、ダウングレードするならは5.2とすべきとGentoo開発陣
https://bugs.gentoo.org/928134#c26

RE: https://mi.kuropen.org/notes/9rhcqykp9f

https://bugs.gentoo.org/928134#c26 https://bugs.gentoo.org/show_bug.cgi?id=928134
928134 – (CVE-2024-3094) >=app-arch/xz-utils-5.6.0: backdoor in release tarballs
Web site image
https://mi.kuropen.org/notes/9rhcqykp9f
Kuropen (@kuropen)
07:11:48
notestock 공개 페이지 링크
icon

Debianがダウングレードを検討している5.3.1は、xzのバージョンコードルールがApache同様の「奇数のマイナーバージョンは不安定版」なので、ダウングレードするなら5.2とすべきとGentoo開発陣
https://bugs.gentoo.org/928134#c26

RE: https://mi.kuropen.org/notes/9rhcqykp9f

https://bugs.gentoo.org/928134#c26 https://bugs.gentoo.org/show_bug.cgi?id=928134
928134 – (CVE-2024-3094) >=app-arch/xz-utils-5.6.0: backdoor in release tarballs
Web site image
https://mi.kuropen.org/notes/9rhcqykp9f
Kuropen (@kuropen)
07:17:37
notestock 공개 페이지 링크
icon

UbuntuからようやくCVE-2024-3094に関する情報が出た。
Ubuntuの現行版で影響するバージョンはなし。
https://ubuntu.com/security/CVE-2024-3094

noble (24.04) での採用案はあったとのことだが、移行する前に削除されたため、実際に 24.04 で使われるのはバージョン 5.4.5。
https://packages.ubuntu.com/noble/xz-utils

Web site image
https://ubuntu.com/security/CVE-2024-3094
CVE-2024-3094 | Ubuntu
https://packages.ubuntu.com/noble/xz-utils
Ubuntu – Details of package xz-utils in noble
07:52:41
notestock 공개 페이지 링크
icon

xzの件の悪意ある人物、libarchiveでも2年前に「safe_fprintf」をただの「fprintf」に書き換えるなどのコミットをしており、昨日になって実質リバートされた模様。
こちらの問題は、BSD系およびWindowsが影響を受けることになる。
https://github.com/libarchive/libarchive/pull/1609
https://twitter.com/izutorishima/status/1773979471248584707

Web site image
https://github.com/libarchive/libarchive/pull/1609
Added error text to warning when untaring with bsdtar by JiaT75 · Pull Request #1609 · libarchive/libarchive
10:26:17
notestock 공개 페이지 링크
2024-03-31 10:25:58 takimura@​:misskey:​.dev​​:spi:님의 게시물 cv_k@misskey.dev
icon

NTTドコモ「FOMA」「:i_mode: iモード」、2026年3月でサービス終了 なぜKDDI、ソフトバンクよりも長く続いたか 専門家の見解は
https://nordot.app/1146705965092324130?c=559314306504344673

三上洋氏によるとドコモだけFOMA終了がかなり遅いのは法人需要とのこと

Web site image
https://nordot.app/1146705965092324130?c=559314306504344673
NTTドコモ「FOMA」「iモード」、2026年3月でサービス終了 なぜKDDI、ソフトバンクよりも長く続いたか 専門家の見解は | J-CASTニュース
10:27:29
notestock 공개 페이지 링크
icon

そもそもKDDIの言う「3G」とはCDMA2000で、マイナー規格だからさっさと終わらせたいというのがあったわけで

10:33:59
notestock 공개 페이지 링크
icon

I have received a few emails alerting me to a LinkedIn of somebody named Jia Tan. Their bio boasts of large-scale vulnerability management. They claim to live in California. Is this our man? The commits on JiaT75’s GitHub are set to +0800, which would not indicate presence in California. UTC-0800 would be California.
https://boehs.org/node/everything-i-know-about-the-xz-backdoor

GitHubのコミットで設定されていたというタイムゾーン「UTC+0800」って北京時間では?

Web site image
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
Everything I know about the XZ backdoor
10:39:00
notestock 공개 페이지 링크
icon

まあ、「改変」するとしたら逆のベクトルじゃないですかね、という話

10:48:17
notestock 공개 페이지 링크
icon

PHP 8.1の開発当時に、PHPのGitサーバーに不正アクセスされてバックドアが仕掛けられるという事件(2021年3月28日)
https://gigazine.net/news/20210330-phps-git-server-hacked-backdoors/
https://news-web.php.net/php.internals/113838
※これをきっかけにPHPの開発チームは自営Gitサーバーを放棄してGitHubに移行したとのこと

こういうものが十分検証されていない可能性が高いので、いわゆる「master追随」的な運用は自分は絶対しない。

Web site image
https://gigazine.net/news/20210330-phps-git-server-hacked-backdoors/
ハッカーがPHPの開発者になりすましてソースコードにバックドアを仕込んでいたことが判明
https://news-web.php.net/php.internals/113838
php.internals: Changes to Git commit workflow
21:57:44
notestock 공개 페이지 링크
2024-03-31 21:40:34 おさ님의 게시물 osapon@mstdn.nere9.help
icon

備えよう。
Home | World Backup Day — March 31st
worldbackupday.com/ja

Web site image
https://www.worldbackupday.com/ja
World Backup Day
2024-3-31