Hapicode

# XZ Utils 事件対応

XZ Utils は圧縮と解凍のためのユーティリティ集です。LZMA/LZMA2 圧縮アルゴリズムを実装している高い圧縮率を提供する圧縮アルゴリズムです。

バックドア事件

2024 年 3 月 29 日に、liblzma のコードにバックドアが存在する可能性があるとセキュリティメーリングリストに報告がありました。CPU 使用率が異常で調査したところ、XZ Utils バージョン5.6.0 と 5.6.1に悪意のあるコードが含まれていることが分かりました。
2024 年 2 月 24 日頃と 2024 年 3 月 9 日頃に XZ Utils に不正なコードを 2 回コミットして、2024 年 3 月 29 日に Andres Freund 氏が XZ Utils バックドア問題の指摘を Openwall のセキュリティメーリングリストへ投稿で発覚しました。

# 問題の主人公

Jia Tan 氏は約 2 年半前から XZ Utils の開発に参加を行っており、1 年半前にはコミットアクセス権、リリースマネージャー権を取得していた。同氏によるコミットはこれまで 700 回を超えると分析されている。2024 年 3 月 31 日時点で Jia Tan 氏は解任されている。

# XZ バージョン確認

xz --version
# xz (XZ Utils) 5.4.6
# liblzma 5.4.6

xz -Vも同様に使えます。

5.6 か 5.6.1 に表示されたら upgrade してバージョン更新しましょう。

# Trust, but Verify の重要性

信頼できるソースからの情報やプログラムでも、検証する必要があると言うのは簡単です。システムセキュリティ、ビジネス、人間関係、信頼ができるから構築できたものが一人の開発者によって、世の中がもう一度 Trust と Verify の重要性を考えることになりました。

# 参考

長い時間をかけてプロジェクトオーナーの信頼を勝ち取り、メンテナンスを任された開発者が意図的に混入させたという悪質性や、当該ツールが複数の主要な Linux ディストリビューションで採用されており、「OpenSSH」をはじめ影響が広範囲に及ぶ点などが話題を呼び、オープンソースソフトウェアのサプライチェーンのあり方が問われる事態となっている。
「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に (opens new window)

XZ Utils は LZMA Utils の後継となるソフトウェアであり,Lempel–Ziv–Markov chain Algorithm(LZMA)の改良版である LZMA2 の実装になっています.圧縮には時間がかかるものの,bzip2 を上回る圧縮率を誇り,高速に伸長できるという利点から,tar に採用されるなど,普及が進んでいます
XZ Utils の使い方 (opens new window)

2024-04-03
  • server

関連記事

ジェネレーティブ AI と大規模言語モデル(LLM)を学ぶためのリソース

ChatGPTに惹かれてLLM勉強をはじめました。第1歩英語記事を日本語に翻訳して資料を集める編...

Ubuntu で Web サーバーを構築する手順

UbuntuでWebサーバーを構築する手順についてのメモ...

メールサーバー移行と POP & IMAP 設定

メールサーバーを別のサーバーへ引っ越し作業があったので、資料まとめました。...

Docker Supervisor 使ってバッチ処理

Amazon ECS Dockerfile に Supervisor でプロセス管理します。Lara...

よく使う WSL コマンド

Windows WSL インストールして本物のLinux環境をWindowsで楽しめる Ubuntu...

自宅サーバー構築!  Nextcloud で NAS クラウドストレージ

NAS 自宅ストレージサーバーをNextcloudで自作するまで、大容量で安全安心のローカルマシンに...

no such file or directory: /usr/share/zsh/vendor-completions/_docker

wslのUbuntuにzshインストールして使ってますが、突然にwarning errorになったた...

oh my zsh 使うべし

カラフルでコマンドがわかりやすいzshが使いやすいので、zshとoh my zshのインストールにつ...

AWS CloudWatch ログ監視で Lambda 処理

Cloudwatch ログ監視して Lambda 処理でチャットワーク送信したり、カスタマイズ処理を...

AWS SES メール開封確認  DB に集計

メール送信の開封確認して DB更新するために使う AWS サービス SES SNS LAMBDA と...

Vim 操作とショートカット

Linux OS なら Vim 知らない人はいないくらい高性能エディター Vim の各種コマンド シ...

DDNS 無料ダイナミック DNS サービス 4 つ

国内外にあるDDNS無料サービス4つについて調べました。制限の少ないDDNS Nowはいい評判な理由...

Nginx 基本設定

ウェブサーバーNginxの基本設定、バーチャルホスト、ベース認証、SSL設定について...

SPF メール送信なりすまし対策

メール送信なりすまし対策フィッシング詐欺対策に SPF レコードを追加して簡単に送信元IPアドレス認...

Windows Mac Linux hosts ファイル場所

windows hosts mac hosts と linux hostsファイル場所とhostsの...

AWS Unresolved resource dependencies [AWSEBV2LoadBalancer] エラー

aws ELBデプロイでUnresolved resource dependencies AWSEB...

ディスク容量を確認する df コマンド

サーバーのディスク容量確認する dfコマンドの使い方について dfコマンドの...

Laravel Address already in use の原因

laravel artisan serve したら Failed to listen on 127....

content-security-policy 設定

Content-Security-Policy 設定でエラー解消するためにnetlify conte...

AWS Elastic Beanstalk php.ini 設定変更

configファイル使って aws php post_max_size upload_max_fil...

AWS Elastic Beanstalk 環境設定

amazon EB Elastic Beanstalkデフォルト設定と環境プロパティについて...

AWS のタイムゾーンを UTC 協定世界時から JST 日本標準時に変更

AWSの時間が9時間ずれる!UTCからAsia/Tokyo JSTに変更...

Docker の基本的な使い方

環境統一作業効率で使われるDockerfileなど、さくらナレッジの記事を読んで改めてDockerの...

Amazon DynamoDB 制限調査

AWS DynamoDB制限について調べたが、容量制限がアイテムあたり400KBでリクエスト制限もあ...

AWS 504 Gateway Timeout エラー対応

AWSロードバランサー利用して504エラー発生、504の原因と対応を調査してまとめました。...

Shell と Bash のいろいろ

ShellとBashの違いと歴史について学習しました。カラフルにBash使うためにGit Bash使...

Mac ターミナル SSH 接続設定

Mac SSH 接続方法とSSHの歴史、各種設定など。Macターミナルでssh接続は以外と便利で使い...

Elastic Beanstalk \$\SERVER['REMOTEADDR'] 取得できない

ELBで php ユーザーIP取得できなかったので、AWSのセキュリティとロードバランサーについて学...

crontab 設定いろいろ

crontabコマンドとオプションなどの細かい設定いろいろまとめ...

AWS EC2 の amazon-linux-extras の話

Amazon linux2 EC2 インスタンスのパッケージ管理ツール amazon-linux-e...

デプロイツール Capistrano

Capistrano とはデプロイ自動化ツール PHPプロジェクトをAWS Beanstalk に自...

解決! xserver php バージョンアップした時に ssh 環境に反映されない

xserverのphp5から7にアップした時にssh環境ではバージョン5のままでした。...

youtube 見れるように vpn サーバー建ててみた

自己研究用にCentOSにvpnサーバー建ててyoutube見ました。...

xserver に vim インストール

viから脱出してxserverのvim設定...

xserver に nodejs インストール

nodebrewツール使うと誰でもできるレンタルサーバー・エックスサーバーにnodejsインストール...

レンタルサーバーなら xserver おすすめ理由

レンタルサーバーのxserverの評価はどう?って思うエンジニアからみるxserverと愛用する理由...

Docker command でドッカー練習する時のメモ

docker使ってコンテナ操作イメージ操作など、秒単位でウェブサーバー立ち上げると気持ち爽快!doc...

Windows10 Home に Docker 入れた時のメモ

windows homeでもdocker使えます。windows proしかdocker入らないと思...

Centos7 Webserver 構築の時のメモ

centos7にphp apacheのウェブサーバー構築、リポジトリ作成してnginx nodejs...