# XZ Utils 事件対応

XZ Utils は圧縮と解凍のためのユーティリティ集です。LZMA/LZMA2 圧縮アルゴリズムを実装している高い圧縮率を提供する圧縮アルゴリズムです。

バックドア事件

2024 年 3 月 29 日に、liblzma のコードにバックドアが存在する可能性があるとセキュリティメーリングリストに報告がありました。CPU 使用率が異常で調査したところ、XZ Utils バージョン5.6.0 と 5.6.1に悪意のあるコードが含まれていることが分かりました。
2024 年 2 月 24 日頃と 2024 年 3 月 9 日頃に XZ Utils に不正なコードを 2 回コミットして、2024 年 3 月 29 日に Andres Freund 氏が XZ Utils バックドア問題の指摘を Openwall のセキュリティメーリングリストへ投稿で発覚しました。

# 問題の主人公

Jia Tan 氏は約 2 年半前から XZ Utils の開発に参加を行っており、1 年半前にはコミットアクセス権、リリースマネージャー権を取得していた。同氏によるコミットはこれまで 700 回を超えると分析されている。2024 年 3 月 31 日時点で Jia Tan 氏は解任されている。

# XZ バージョン確認

xz --version
# xz (XZ Utils) 5.4.6
# liblzma 5.4.6

xz -Vも同様に使えます。

5.6 か 5.6.1 に表示されたら upgrade してバージョン更新しましょう。

# Trust, but Verify の重要性

信頼できるソースからの情報やプログラムでも、検証する必要があると言うのは簡単です。システムセキュリティ、ビジネス、人間関係、信頼ができるから構築できたものが一人の開発者によって、世の中がもう一度 Trust と Verify の重要性を考えることになりました。

# 参考

長い時間をかけてプロジェクトオーナーの信頼を勝ち取り、メンテナンスを任された開発者が意図的に混入させたという悪質性や、当該ツールが複数の主要な Linux ディストリビューションで採用されており、「OpenSSH」をはじめ影響が広範囲に及ぶ点などが話題を呼び、オープンソースソフトウェアのサプライチェーンのあり方が問われる事態となっている。
「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に (opens new window)

XZ Utils は LZMA Utils の後継となるソフトウェアであり,Lempel–Ziv–Markov chain Algorithm(LZMA)の改良版である LZMA2 の実装になっています.圧縮には時間がかかるものの,bzip2 を上回る圧縮率を誇り,高速に伸長できるという利点から,tar に採用されるなど,普及が進んでいます
XZ Utils の使い方 (opens new window)

2024-04-03
  • server

関連記事

Ubuntu で Web サーバーを構築する手順
メールサーバー移行と POP & IMAP 設定
Docker Supervisor 使ってバッチ処理
よく使う WSL コマンド
自宅サーバー構築!  Nextcloud で NAS クラウドストレージ
no such file or directory: /usr/share/zsh/vendor-completions/_docker
oh my zsh 使うべし
AWS CloudWatch ログ監視で Lambda 処理
AWS SES メール開封確認  DB に集計
Vim 操作とショートカット
DDNS 無料ダイナミック DNS サービス 4 つ
Nginx 基本設定
SPF メール送信なりすまし対策
Windows Mac Linux hosts ファイル場所
AWS Unresolved resource dependencies [AWSEBV2LoadBalancer] エラー
ディスク容量を確認する df コマンド
Laravel Address already in use の原因
content-security-policy 設定
AWS Elastic Beanstalk php.ini 設定変更
AWS Elastic Beanstalk 環境設定
AWS のタイムゾーンを UTC 協定世界時から JST 日本標準時に変更
Docker の基本的な使い方
Amazon DynamoDB 制限調査
AWS 504 Gateway Timeout エラー対応
Shell と Bash のいろいろ
Mac ターミナル SSH 接続設定
Elastic Beanstalk \$\SERVER['REMOTEADDR'] 取得できない
crontab 設定いろいろ
AWS EC2 の amazon-linux-extras の話
デプロイツール Capistrano
解決! xserver php バージョンアップした時に ssh 環境に反映されない
youtube 見れるように vpn サーバー建ててみた
xserver に vim インストール
xserver に nodejs インストール
レンタルサーバーなら xserver おすすめ理由
Docker command でドッカー練習する時のメモ
Windows10 Home に Docker 入れた時のメモ
Centos7 Webserver 構築の時のメモ