lynx   »   [go: up one dir, main page]

記事へのコメント23

  • 注目コメント
  • 新着コメント
PYU224
仕込む方も凄いが気づいた方も凄い。

その他
JULY
「オープンソースエコシステム全体の信頼を揺るがす」と書いてるけど、短期間で問題を修正できたのもオープンソースゆえ、とも言える。米国のように社員の入れ替わりが激しいところなら、クローズドでも起き得る。

その他
ka-ka_xyz
なんというかこー、それなりに大きな組織のやり方っぽさがあるのよな(もしそうだとしたら、攻撃がxzだけで一点突破を狙ったというのも考えにくくて)。杞憂だと良いけれど。

その他
inaken1980
OSSの方が起こりやすいとはいえ、悪意ある開発者が侵入する可能性はクローズドソースにもある。

その他
yamadar
この件と同様の手法で脆弱性が埋め込まれていないか、星の数ほどあるオープンソースプロジェクトの全体的な調査をしないと安心できないなと思う

その他
napsucks
ソースが公開されてるがゆえに気づけて直せたとは言える。クローズドのコードに埋め込まれてたら発覚しなかった可能性もある。

その他
deep_one
「長い時間をかけてプロジェクトオーナーの信頼を勝ち取り、メンテナンスを任された開発者が意図的に混入させた」埋伏の毒。

その他
luvsik
足のつく社員が仕込んで訴訟か海外逃亡覚悟ってのと比較するとか笑うわ

その他
stilo
"2021年頃にアカウントを作成、不正なコードが仕込まれたのは2024年2月末。数年にわたり少しずつ信頼を得て、犯行に及んだことがわかる(メンテナーの地位を得てから買収された可能性も指摘されている)"

その他
maketexlsr
systemdの話どこに…

その他
Itisango
エグい。

その他
diveintounlimit
スパイ映画のようだ

その他
hogeaegxa
まるでワンピースの黒ひげみたく最初からこの目的で下積みしてたのか、共産主義下で乞食ユーザの奴隷として生きるのにうんざりして金と引き換えにしてこれをしたのかどっちなんだろう。個人的には後者かなと思う

その他
daishi_n
バックドアを埋め込むのはクローズドソースの方が簡単(特に業務アプリはカモ)なんだけど、オープンソースでもコミット体制によっては汚染されるからね。信頼度を高めてから汚染するとかタチが悪い

その他
napsucks
napsucks ソースが公開されてるがゆえに気づけて直せたとは言える。クローズドのコードに埋め込まれてたら発覚しなかった可能性もある。

2024/04/01 リンク

その他
kubecorn
仕込む方の忍耐力がすごいのか計画性がすごいのか。

その他
yamuchagold
気になって調べたけど自分が管轄してるサーバはバージョンが古いので大丈夫そうだったわ。でも、こういうのは困るな。防ぎようがない。

その他
abeshinn
Jia Tanって中国人だろうね..

その他
misshiki
“メンテナンスを任された開発者が意図的に混入させたという悪質性や、当該ツールが複数の主要なLinuxディストリビューションで採用されており、「OpenSSH」をはじめ影響が広範囲に及ぶ点などが話題を呼び”

その他
warp9
systemd が xz-libs に依存? どうするのこれ? // 「v5.6.0およびv5.6.1」それより古いからセーフ?

その他
ka-ka_xyz
ka-ka_xyz なんというかこー、それなりに大きな組織のやり方っぽさがあるのよな(もしそうだとしたら、攻撃がxzだけで一点突破を狙ったというのも考えにくくて)。杞憂だと良いけれど。

2024/04/01 リンク

その他
yarumato
“PostgreSQL/Microsoftの開発者がマイクロベンチマークの実施中に、システム停止にもかかわらず、sshdプロセスが驚くほど多くのCPUリソースを消費。不審に思った氏がsshdをプロファイリング、SSHログインに0.5秒の遅延を発見”

その他
PYU224
PYU224 仕込む方も凄いが気づいた方も凄い。

2024/04/01 リンク

その他
inaken1980
inaken1980 OSSの方が起こりやすいとはいえ、悪意ある開発者が侵入する可能性はクローズドソースにもある。

2024/04/01 リンク

その他
yamadar
yamadar この件と同様の手法で脆弱性が埋め込まれていないか、星の数ほどあるオープンソースプロジェクトの全体的な調査をしないと安心できないなと思う

2024/04/01 リンク

その他
nakag0711
やはりMSのエンジニアは腕がいいか。PosrgreSQLの開発もしてたのね

その他
JULY
JULY 「オープンソースエコシステム全体の信頼を揺るがす」と書いてるけど、短期間で問題を修正できたのもオープンソースゆえ、とも言える。米国のように社員の入れ替わりが激しいところなら、クローズドでも起き得る。

2024/04/01 リンク

その他
manaten
OSSコミュニティそのものの脆弱性だなあ

その他
Listlessness
よく気付いたよなこれ

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に/0.5秒の遅延からたまたま発覚、数年をかけた周到なやり口が明るみに

ブックマークしたユーザー

すべてのユーザーの
詳細を表示します

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2025 Hatena. All Rights Reserved.
Лучший частный хостинг