|
|
|
|
| Zitat von Gino
Ich hab die xz Version 5.6.1 auf dem Rechner. reichts aus nur das explizite Paket downzugraden, oder ist es eh egal wenn ich weder per ssh auf den Rechner zugreife noch nach außen gehe?
| |
da da grade einige unbekannten im spiel sind würd ich alles tun um die version zu entfernen.
es ist zwar "nur" im tarball, es liest sich so als wenn da jemand direkt den quellcode per git gepullt hat man safe ist, aber wissen tut mans nicht.
auch ist ja unklar wie das da reingekommen ist und in dem artikel wird da schon ordentlich gegen die upstream leute geschossen. das könnte noch echt spannend werden.
ein hoch auf die firmen die ihre hausaufgaben gemacht haben und ordentlich sboms haben.
aber das haben die meisten halt dann doch wieder nicht für die eigene infrastruktur...
alles in allem werden wir sowas in zukunft echt öfter sehen.
|
|
|
|
|
|
|
https://archlinux.org/news/the-xz-package-has-been-backdoored/
Arch dazu. Das mit den Testdateien über Configure, mit schwer lesbarem Skript. Ziemlich schlau?
// edit: Vergesst das mit dem Datum bei den Containerimages, Leseschwierigkeiten.
Ich habe mir mal angesehen was Arch getan. Die haben am Donnerstag vom Tarball auf Checkout ueber Git umgestellt. Haben die da schon etwas gewusst? Wichtig ist, dass sie autogen.sh bzw. autoreconfigure selbst ausfuehren. Dadurch wir das manipulierte configure Skript nicht verwendet.
Autotools
Das ist eine der Merkwuerdigkeiten, die mir frueher schon an den Autotools zu denken gegeben hat. Die Wikipedia beschreibt die Stufen, leider aber nicht autogen.sh bzw. autoreconfigure (welche configure.ac und die .in Files verwenden sollte?) im ersten Schritt. Das ist gut bei Stackoverflow gut erklaert. Ich fand in der Entwicklung fuer mich keinen Zugang zu den Autotools, mir hat eine kurz und deutliche Anleitung gefehlt. Und mir schien das ueberladen mit Anchronismen aus den UNIX-Kriegen. Dann kam zum Glueck Meson und ich habe die Autotools nie als Entwickler verwendet.
Red Hat ist lieber zurueck auf 5.4.x zurueck. Laut Arch Bugtracker hatte der verantwortliche Autor da aber auch schon Zugriff.
// edit: Ich denke Mark Wagie verwendet updpkgsums falsch. Korrigiert mich...aber...das ist falsch?
|
[Dieser Beitrag wurde 3 mal editiert; zum letzten Mal von hoschi am 29.03.2024 23:40]
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Schuldklaerung ist ein schwieriges Thema.
Ist das nicht der commit und der Autor? Der hat schon vor 5.4.0 Zugriff auf das Repository gehabt. Auf Github sehe ich Commits aus 2022, weiter zurueck bin ich nicht.
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von hoschi am 30.03.2024 0:14]
|
|
|
|
|
|
Hab ich mir auch so gedacht. Ich will nicht wissen, welche Backdoors noch nicht gefunden wurden. Wenn man so drüber nachdenkt eigentlich irre, auf welchen open source stack sich die ganze IT der Welt so verlässt.
|
|
|
|
|
|
|
Den Beschreibungstext müssen wir noch ändern
|
|
|
|
|
|
|
Manchmal ist es doch ganz gut, dass brew ein wenig langsam ist.
|
Code: |
-> xz --version
xz (XZ Utils) 5.4.6
liblzma 5.4.6
|
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von SwissBushIndian am 30.03.2024 11:03]
|
|
|
|
|
|
|
|
|
|
Brew hat wohl einfach schnell zurückgerudert. Auch gut.
|
|
|
|
|
|
|
| Zitat von SwissBushIndian
Brew hat wohl einfach schnell zurückgerudert. Auch gut.
| |
"Zurück" ist halt so ne frage, auf was? Der typ ist schon länger dabei und mittlerweile sieht da noch anderes fishy aus...
|
|
|
|
|
|
|
Yup, I know. Ich bin ehrlichgesagt gerade gar nicht so traurig arbeitslos zu sein
|
|
|
|
|
|
|
Dass der Angreifer seit Jahren Zugriff hatte, macht mir mehr Sorgen, als das entdeckte Backdoor.
|
|
|
|
|
|
|
| Zitat von SwissBushIndian
Yup, I know. Ich bin ehrlichgesagt gerade gar nicht so traurig arbeitslos zu sein
| |
high five hier auch erst wieder ab 1.5. in lohn und brot.
was könnt ich jetzt auf der alten arbeitsstelle rumlaufen und endlich mal leute prügeln dass SBOMs echt wichtig sind. und zwar nicht nur vom produkt sondern auch noch von der ganzen ci chain usw...
|
|
|
|
|
|
|
Hab mir in den Netcup-Osterangeboten gerade einen frischen ARM-Server geschossen, um meinen 13 Jahre alten VPS mal zu ersetzen
Hauptsächlich macht der Nextcloud, Mumble, VPN mit Pihole und so weiter. Das läuft aktuell alles direkt auf dem OS. Wie setzt man sowas heutzutage auf? Ich schätze die Dockerisierung des Abendlandes ist nicht aufzuhalten? Docker oder was anderes?
Aktuell downgrade ich quasi bei jedem Update irgendwelche Pakete (meistens PHP...), weil irgendwas kaputt geht Das würde ich gerne vermeiden. Vermutlich war Arch hier aber auch einfach die falsche Wahl für einen Server, oder?
|
|
|
|
|
|
|
Ich mag die Variante "superschmales Alpine" und dann docker (mit compose files und so).
|
|
|
|
|
|
|
| Zitat von hoschi
Dass der Angreifer seit Jahren Zugriff hatte, macht mir mehr Sorgen, als das entdeckte Backdoor.
| |
Ich fürchte mich etwas vor dem Dienstag
|
|
|
|
|
|
|
| Zitat von theromi
Hab mir in den Netcup-Osterangeboten gerade einen frischen ARM-Server geschossen, um meinen 13 Jahre alten VPS mal zu ersetzen
[...]
| |
wo sind die eier versteckt?
lohnt sich das? sind das dauerhaft tiefe preise oder nur "am anfang günstiger"?
hab mir für genau den gleichen zweck auch neulich nen arm vserver bei denen geholt und plan den längerfristig zu nutzen, wenn da dauerhaft ein zwei euro günstiger gehen dann würd sich das lohnen.
|
|
|
|
|
|
|
| Zitat von theromi
Vermutlich war Arch hier aber auch einfach die falsche Wahl für einen Server, oder?
| |
Hatte ich lange, breakage war eigentlich kein Problem. Dienste neu starten weil es ständig neue Versionen gab hat aber irgendwann genervt.
/e: Und Netcup-spezifisch der zeitweise unterirdische IO.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von kRush* am 31.03.2024 13:36]
|
|
|
|
|
|
| Zitat von [KdM]MrDeath
| Zitat von theromi
Hab mir in den Netcup-Osterangeboten gerade einen frischen ARM-Server geschossen, um meinen 13 Jahre alten VPS mal zu ersetzen
[...]
| |
wo sind die eier versteckt?
lohnt sich das? sind das dauerhaft tiefe preise oder nur "am anfang günstiger"?
hab mir für genau den gleichen zweck auch neulich nen arm vserver bei denen geholt und plan den längerfristig zu nutzen, wenn da dauerhaft ein zwei euro günstiger gehen dann würd sich das lohnen.
| |
https://dev.2hp3.de/
Allerdings bisher keine Ersparnis, sondern nur aufgebohrte Plattenkappa. Da ich eh 1TB brauche, passte mir das ganz gut
| Zitat von kRush*
/e: Und Netcup-spezifisch der zeitweise unterirdische IO.
| |
Ja, das ist mir auf meinem aktuellen Server auch schon aufgefallen. Haben die das immer noch nicht im Griff?
| Zitat von FuSL
Ich mag die Variante "superschmales Alpine" und dann docker (mit compose files und so).
| |
Gibts da irgendwie ein Best Practice für so Heimuser-Setups? Muss mich da mal reinarbeiten.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von theromi am 31.03.2024 17:40]
|
|
|
|
|
|
| Zitat von theromi
| Zitat von kRush*
/e: Und Netcup-spezifisch der zeitweise unterirdische IO.
| |
Ja, das ist mir auf meinem aktuellen Server auch schon aufgefallen. Haben die das immer noch nicht im Griff?
| |
You get what you pay for. *shrug*
|
|
|
|
|
|
|
Okay Leute. Hier mein geheimes Templerwissen! Schreibt euch das auf oder besser, tue es jemand fuer mich im Wiki:
Wenn eine Anwendung auf Basis von Wireplumber (Pipewire) nicht funktioniert - es kommt also kein Ton - liegt es am internen State den Wireplumber zu jeder Anwendung speichert unter ~/.local/state/wireplumber. Es liegt nicht an der Config, dass ist etwas anderes.
systemctl --user stop wireplumber.service
rm -r ~/.local/state/wireplumber
systemctl --user start wireplumber.service
Die zugehörige CLI ist zu komplex. Vermutlich passend, wenn man Audiotracks für ein Filmstudio bearbeitet oder diese Sphäre in Las Vegas administriert. Ich will ein pipewiremixer, analog zum alsamixer.
// edit
Habe den Loesungsansatz im Wiki gefunden, allerdings spezifisch fuer Bluetoothprobleme. Da suche ich leider nicht, wenn MPV und Celluloid keinen Ton ausgeben, aber alle anderen Anwendung.
|
[Dieser Beitrag wurde 3 mal editiert; zum letzten Mal von hoschi am 01.04.2024 20:58]
|
|
|
|
|
|
Ich bin alt und langsam.
Ich bekomme die Schrift nicht so dünn wie im Original.
|
|
|
|
|
|
|
GCC -fanalyzer sieht hilfreich aus. Und der Ansatz den Sachverhalt mit Text und ASCII-Art zu erklären, finde ich gut.
Das werde ich gerne testen, sobald GCC 14 stabil ist.
|
|
|
|
|
|
|
|
|
|
|
| so recht kam die öffentliche Diskussion darüber jedoch nicht in Gang. Erst nach einer Anfrage der heise-Security-Redaktion | |
Ich glaube, soo krass kann die Lücke nicht sein.
|
|
|
|
|
|
|
Ja, schon eher speziell im Vergleich zur letzten runde. So selten sind xen-virtualisierte debians und ubuntus jetzt aber auch nicht. Wobei's auch nur mies ist, wenn das entsprechende GSM-Modul geladen ist. Hm, naja. Hast ja recht.
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von statixx am 12.04.2024 17:32]
|
|
|
|
|
|
CLion hat inzwischen Unterstützung für Meson. Jetzt habe ich doch schon Jucipp für mich entdeckt
|
|
|
|
|
|
Thema: Der Linux-Thread 100 != 0x24 ( Ein Kernelupgrade später... ) |