Embed Notice

HTML Code

<blockquote style="position: relative; padding-left: 55px;"><section><a href="https://fedibird.com/users/aoetk/statuses/112193994145958998">AOE, Takashi (aoetk@fedibird.com)'s status on Monday, 01-Apr-2024 13:54:30 JST</a><a href="https://fedibird.com/@aoetk" title="aoetk@fedibird.com"><img src="https://gnusocial.jp/avatar/148407-48-20230712053924.webp" width="48" height="48" alt="AOE, Takashi" style="position: absolute; left: 0; top: 0;">AOE, Takashi</a></section><article><p>&gt; 長い時間をかけてプロジェクトオーナーの信頼を勝ち取り、メンテナンスを任された開発者が意図的に混入させた<br>これは確かにやばい。悪意のある第三者がクラックして仕込んだのではなく、コミッタが巧みに悪意のあるコードを混入するケースというのは初めて見た。 /<br>「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に - 窓の杜 <a href="https://forest.watch.impress.co.jp/docs/news/1580604.html" rel="nofollow noreferrer">https://forest.watch.impress.co.jp/docs/news/1580604.html</a></p></article><footer><a rel="bookmark" href="https://gnusocial.jp/conversation/2887543#notice-5737922">In conversation</a><time datetime="2024-04-01T13:54:30+09:00" title="Monday, 01-Apr-2024 13:54:30 JST">about 8 months ago</time> <span>from <span><a href="https://fedibird.com/@aoetk/112193994145958998" rel="external" title="Sent from fedibird.com via ActivityPub">fedibird.com</a></span></span><a href="https://fedibird.com/@aoetk/112193994145958998">permalink</a><h4>Attachments</h4><ol><li><article><header><div>Domain not in remote thumbnail source whitelist: forest.watch.impress.co.jp</div><h5><a href="https://forest.watch.impress.co.jp/docs/news/1580604.html">「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に／0.5秒の遅延からたまたま発覚、数年をかけた周到なやり口が明るみに</a></h5><div> from <span>株式会社インプレス</span></div></header><div>　Linux環境で広く利用されているツール「XZ Utils」に3月29日、バックドアが発見されたとのこと（CVE-2024-3094）。Red Hatが評価した「CVSS 3」のベーススコアは、「10.0」（Critical）。長い時間をかけてプロジェクトオーナーの信頼を勝ち取り、メンテナンスを任された開発者が意図的に混入させたという悪質性や、当該ツールが複数の主要なLinuxディストリビューションで採用されており、「OpenSSH」をはじめ影響が広範囲に及ぶ点などが話題を呼び、オープンソースソフトウェアのサプライチェーンのあり方が問われる事態となっている。</div><footer></footer></article></li></ol></footer></blockquote>

Corresponding Notice

Embed this notice
AOE, Takashi (aoetk@fedibird.com)'s status on Monday, 01-Apr-2024 13:54:30 JST AOE, Takashi
> 長い時間をかけてプロジェクトオーナーの信頼を勝ち取り、メンテナンスを任された開発者が意図的に混入させた
これは確かにやばい。悪意のある第三者がクラックして仕込んだのではなく、コミッタが巧みに悪意のあるコードを混入するケースというのは初めて見た。 /
「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に - 窓の杜 https://forest.watch.impress.co.jp/docs/news/1580604.html
In conversationabout 8 months ago from fedibird.compermalink
Attachments
1. Domain not in remote thumbnail source whitelist: forest.watch.impress.co.jp
  「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に／0.5秒の遅延からたまたま発覚、数年をかけた周到なやり口が明るみに
  from 株式会社インプレス
  　Linux環境で広く利用されているツール「XZ Utils」に3月29日、バックドアが発見されたとのこと（CVE-2024-3094）。Red Hatが評価した「CVSS 3」のベーススコアは、「10.0」（Critical）。長い時間をかけてプロジェクトオーナーの信頼を勝ち取り、メンテナンスを任された開発者が意図的に混入させたという悪質性や、当該ツールが複数の主要なLinuxディストリビューションで採用されており、「OpenSSH」をはじめ影響が広範囲に及ぶ点などが話題を呼び、オープンソースソフトウェアのサプライチェーンのあり方が問われる事態となっている。

Public

Embed Notice

HTML Code

Corresponding Notice