2024年3月30日 - @yuicho@mstdn.yuicho.netの投稿

21:12:32 Yuicho @yuicho@mstdn.yuicho.net

今時オプチャじゃないグループでそういう事やってる人おるんや🥹

QT https://handon.club/@gomama/112183813362797649

https://handon.club/@gomama/112183813362797649

ごまま (@gomama@handon.club)

21:12:06 Yuicho @yuicho@mstdn.yuicho.net

2024-03-30 17:59:04 よーすたーの投稿 gomama@handon.club

このアカウントは、notestockで公開設定になっていません。

17:52:27 Yuicho @yuicho@mstdn.yuicho.net

2024-03-30 17:49:11 ^Kur0den\d{4}$

の投稿 kur0den0010@chpk.kur0den.net

17:52:14 Yuicho @yuicho@mstdn.yuicho.net

2024-03-30 16:54:23 Kuropenの投稿 kuropen@mi.kuropen.org

xzのプロジェクトのサイトによれば一応自営Gitサーバーにミラーしているらしくコードの検証それ自体は可能な模様
https://git.tukaani.org/

https://git.tukaani.org/

git.tukaani.org

17:52:05 Yuicho @yuicho@mstdn.yuicho.net

ほんとだ、よくミラーしてたな

とはいえ、issueがぶち飛んだのは痛い

QT https://mi.kuropen.org/notes/9rhd27nw9h

https://mi.kuropen.org/notes/9rhd27nw9h

Kuropen (@kuropen)

16:39:38 Yuicho @yuicho@mstdn.yuicho.net

悪意持ったコミッターが急に来てコード混ぜこんでましたよ、とかならまだええんよ。

今回の件、関わってる（とされている）ユーザーは2年近くに渡ってコミットし続けてるわけで、まだ見つかってないものが仕込まれてる可能性もかなり高いはず。

直近のバージョン以下なら安全みたいな話になってる状況を考えると、調査のためにもリポジトリは開いとくべきだった。
マルウェアを配布しないためなら、releaseページだけ止めればよかったのでは

16:38:48 Yuicho @yuicho@mstdn.yuicho.net

NextCloudってS3互換のストレージ扱えるのか！
ストレージ容量少ない鯖でホストしたいけどネットワークマウントとかするのはめんどいなぁとか思ってたから、超ありがたい知見👀
（S3互換のストレージ使う発想がなかった）

QT https://mi.okin-jp.net/notes/9rhc0ntvq45b02cw

https://mi.okin-jp.net/notes/9rhc0ntvq45b02cw

おきん🥫 (@okin_p)

16:36:04 Yuicho @yuicho@mstdn.yuicho.net

2024-03-30 16:24:59 アマノの腋の投稿 amano_kei@soukun.io

このアカウントは、notestockで公開設定になっていません。

16:30:54 Yuicho @yuicho@mstdn.yuicho.net

だとしてもこのタイミングで止めるのは一番駄目な手法だった…
issueで色々情報交換も行われてたのになー

QT https://mastodon.zunda.ninja/@zundan/112183435085269058

https://mastodon.zunda.ninja/@zundan/112183435085269058

zunda (@zundan@mastodon.zunda.ninja)

16:29:32 Yuicho @yuicho@mstdn.yuicho.net

2024-03-30 16:22:52 zundaの投稿 zundan@mastodon.zunda.ninja

あ。マルウェアを配布してはいけません、みたいなルールがあって（確認してないけどありそう）、それで止められてるのかもか。

16:17:39 Yuicho @yuicho@mstdn.yuicho.net

これ、もうGitHub的にはxzは使うなってスタンスなのか…？

16:11:20 Yuicho @yuicho@mstdn.yuicho.net

@askyq そこまで行くと、普通にサーバー借りたほうが安くなりそうな気も

16:07:24 Yuicho @yuicho@mstdn.yuicho.net

あ…xzのリポジトリ止められてる

今それはまずくないか…？

08:11:34 Yuicho @yuicho@mstdn.yuicho.net

1週間経ってた

08:07:57 Yuicho @yuicho@mstdn.yuicho.net

最終話だから…？

QT https://abyss.fun/@guskma/112181457536678846

https://abyss.fun/@guskma/112181457536678846

ぐすくま@わかりみ (@guskma@abyss.fun)

08:07:41 Yuicho @yuicho@mstdn.yuicho.net

2024-03-30 07:59:57 ぐすくま@わかりみの投稿 guskma@abyss.fun

このアカウントは、notestockで公開設定になっていません。

08:07:36 Yuicho @yuicho@mstdn.yuicho.net

また変なことやりだしたな

QT https://abyss.fun/@guskma/112179363445882490

https://abyss.fun/@guskma/112179363445882490

ぐすくま@わかりみ (@guskma@abyss.fun)

08:07:23 Yuicho @yuicho@mstdn.yuicho.net

2024-03-29 23:07:23 ぐすくま@わかりみの投稿 guskma@abyss.fun

このアカウントは、notestockで公開設定になっていません。

08:02:48 Yuicho @yuicho@mstdn.yuicho.net

人の悪意って怖いねぇ…
どうして悪いことのためにそこまで労力を割けるのか…

07:29:35 Yuicho @yuicho@mstdn.yuicho.net

> It's possible that the bad actor modified old commit logs and whatnot

コミットログの改変か…
確かにメンテナーならそれも可能なのか…？

07:26:11 Yuicho @yuicho@mstdn.yuicho.net

とりあえず、gitではこのメンテナーがしたコミットをrevertする動きになってる。

https://github.com/tukaani-project/xz/pull/95

Revert malicious commits by Alcaro · Pull Request #95 · tukaani-project/xz

07:21:29 Yuicho @yuicho@mstdn.yuicho.net

2024-03-30 07:20:36 Kuropenの投稿 kuropen@mi.kuropen.org

OSSで、開発者がメンテナーを続けられなくなったなどの場合に、悪意のある人物が引き継いで大変なことになったという話は他にも聞く。

07:21:26 Yuicho @yuicho@mstdn.yuicho.net

2024-03-30 07:20:28 Kuropenの投稿 kuropen@mi.kuropen.org

xzの件、これ読んでると明らかな破壊工作って感じもするなあ…
無論これの内容を全面的に信用するでもないが。
https://boehs.org/node/everything-i-know-about-the-xz-backdoor

https://boehs.org/node/everything-i-know-about-the-xz-backdoor

Everything I know about the XZ backdoor

07:21:11 Yuicho @yuicho@mstdn.yuicho.net

なんか、海外ではむしろリボ払いが定番って聞いたことがあるなー

QT https://mi.kuropen.org/notes/9rgruvqd3l

https://mi.kuropen.org/notes/9rgruvqd3l

Kuropen (@kuropen)

07:19:07 Yuicho @yuicho@mstdn.yuicho.net

2024-03-30 07:00:49 Kuropenの投稿 kuropen@mi.kuropen.org

日本ではクレジットカードの分割・リボ払いの利用が少ないから金利手数料収入が少なくて、クレジットカード会社が収益を加盟店手数料に依存している面があるから手数料を下げられないみたいな話が…

07:14:54 Yuicho @yuicho@mstdn.yuicho.net

眠い。二度寝しよ。

07:14:01 Yuicho @yuicho@mstdn.yuicho.net

メンテナーが悪人って、今まで考えもしなかったけど、そりゃありえる話なんだよなぁ…

07:11:55 Yuicho @yuicho@mstdn.yuicho.net

内容の精査は必要だと思うけども。

https://boehs.org/node/everything-i-know-about-the-xz-backdoor

Everything I know about the XZ backdoor

07:08:22 Yuicho @yuicho@mstdn.yuicho.net

@kuropen Github履歴的には、関係しているユーザーは少なくとも5.2.10リリースには関わってるんですよね…

どこから悪意を持って動いていたかは分からない（そもそもずっと中身が同じかもわからない）ですが、現時点ではなんとも言えないんじゃないかなぁという気持ちです

06:53:59 Yuicho @yuicho@mstdn.yuicho.net

これ、Githubアカウントが乗っ取られたとかの可能性もあるんかな…🤔
今のところは推測にしかならんか…🥺

06:40:50 Yuicho @yuicho@mstdn.yuicho.net

うーん、なるほど
悪意あるコードは埋め込まれつつも、実際にそれがアクティブになるのはリリースtarボールだけって感じやな

これ、現状5.6.0以上って言われてるけど、しばらく状況注視しとくほうが良さそう
過去に仕込まれてたとしてもおかしくはない気が

https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

xz-utils backdoor situation

05:51:00 Yuicho @yuicho@mstdn.yuicho.net

@askyq ありがとうございます！
リアクション頂いてたのでご存知だと思うんですが、結局普通に取れました…🥹

今となってはもう分かんないですが、一時的に429とかで弾かれてた可能性があるのかなぁとかおもてます…

QT https://mstdn.yuicho.net/@yuicho/112178513035584297

https://mstdn.yuicho.net/@yuicho/112178513035584297

Yuicho (@yuicho@mstdn.yuicho.net)

05:47:25 Yuicho @yuicho@mstdn.yuicho.net

さらにめも

https://nvd.nist.gov/vuln/detail/CVE-2024-3094

NVD - CVE-2024-3094

05:46:04 Yuicho @yuicho@mstdn.yuicho.net

獣耳ショタ短パン白衣！？ｶﾞﾀｯ

QT https://misskey.cloud/notes/9rgogp5657

https://misskey.cloud/notes/9rgogp5657

🎨なほろあ@英文送りつけると直感で翻訳してくれます (@Nahoroa2)

05:45:24 Yuicho @yuicho@mstdn.yuicho.net

2024-03-30 05:25:48 なほの投稿 Nahoroa2@misskey.cloud

このアカウントは、notestockで公開設定になっていません。

05:40:56 Yuicho @yuicho@mstdn.yuicho.net

めも
https://github.com/advisories/GHSA-rxwq-x6h5-x525

https://github.com/advisories/GHSA-rxwq-x6h5-x525

CVE-2024-3094 - GitHub Advisory Database

05:40:16 Yuicho @yuicho@mstdn.yuicho.net

ざっと見た感じ、ちょっとずつちょっとずつ悪意あるコードがcommitされていて、なんかのトリガーでtarで固めたバイナリになった時点で発動するようになってる…？

https://github.com/tukaani-project/xz/issues/92

[Bug]: Upstream compromised? Or is the compromise? · Issue #92 · tukaani-project/xz

05:21:22 Yuicho @yuicho@mstdn.yuicho.net

起きたらヤバそうな話出てたから確認したけど、とりあえず大丈夫だった

QT https://mastodon.social/@cslinuxboy/112180542293904078

https://mastodon.social/@cslinuxboy/112180542293904078

cslinuxboy (@cslinuxboy@mastodon.social)

05:20:36 Yuicho @yuicho@mstdn.yuicho.net

2024-03-30 04:07:11 cslinuxboyの投稿 cslinuxboy@mastodon.social

このアカウントは、notestockで公開設定になっていません。

月	火	水	木	金	土	日
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

月	火	水	木	金	土	日
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

月	火	水	木	金	土	日
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31