主頁 高登熱話 吃喝玩樂 科技消費 名人專訪 短片
現有會員可[按此]登入。未成為會員可[按此]註冊。
[公司模式 - 關]  [懷舊模式 - 開
[Youtube 預覽 - 關]  [大字型]  [小字型]

您現在聚腳在 軟件台內。

將已解封的舊帳戶升級高級會員

我們上年12月曾解封部分只輕微觸犯版規或懷疑被駭的帳戶,但有會員反映一些於2009年前登記的舊帳戶在解封後未有自動升級為高級會員,現在我們已將該批帳戶升級,謝謝。
精選文章
DeerGamer
New App Android IOS
高登主頁 » 討論區 » 軟件台

Locked 此貼文已鎖,將不接受回覆。

跳至第

發起人
Linux 高登集中討論post (#6)|打到機|xz被殖入backdoor
325 個回應
居理夫人

第一次接觸Linux嘅朋友,可以參閱依份Document:

我哋今次嘅主題係:
「 發現Open Source software重大危機,全城關注(CVE-2024-3094)。」
https://access.redhat.com/security/cve/CVE-2024-3094
「越嚟越多人開始關注,RedHat rate as 10.0 critical。

除咗lzmalib( part of xz packages)外,backdoor injector (Jia Tua)有參與過kernel code contribution。不排除會有法律行動 」 https://upload.hkgolden.media/comment/pbulbcr3.iaroesikgzn.2qoelszx3p5.ecx.jpg

可惜無爆1001。懶了,快快手開個Post比大家討論


前一個post[5] (2023年12月30日 08:22):
Linux 高登集中討論post (#5)|打到機|電腦世界嘅自由 同樣重要
https://forum.hkgolden.com/thread/7773360/page/1

第四個post ( 2023年11月6日 01:23):Linux 高登集中討論post (#4)|Linux可以打機|支持本地資源/MrA
https://forum.hkgolden.com/thread/7754692/page/1

第三個post ( 2023年10月18日 15:00):Linux 高登集中討論post (#3)|我一律不建議使用Ubuntu/Manjaro
https://forum.hkgolden.com/thread/7748073/page/1

第二個post (2022年5月11日 20:50):Linux 高登集中討論post (#2)|無限制|TrannyOS好用|GTK正垃圾
https://forum.hkgolden.com/thread/7561720/page/1
第一個post (2022年4月4日 05:35):Linux 集中討論post (1)|無限制~2022年新年快樂

https://forum.hkgolden.com/thread/7520641/page/1



#good2#3    #bad#0  
標籤:
=https://upload.hkgolden.media/comment/ocyehllx.e2qjtkm2wnp.20jwp3vv1fj.ytp.jpg
https://i.ytimg.com/vi/oW84vko63KY/sddefault.jpg
https://upload.hkgolden.media/comment/msq2gjsa.yzkzzhubcbp.dsyxael3hqb.jnp.jpg



@居理夫人[Quote https://forum.hkgolden.com/thread/7803528/page/2Post 高町嘅問題]_<留言#26>
「windows有阻住user檢查自己係咪受到影響?? 」
#Windows #opensource #vulnerability #attack #backdoor #discussion #question



問題追蹤List


#3



@所有人
#Question #Issue #Troubleshooting #Index

為方便追蹤並回覆大家嘅問題
當你於提出咗問題之後,引用(前提問者)嘅「問題追蹤List」,並寫上你條問題嘅編號

例如(留言#2)我打咗條問題,我就將嗰一層嘅編號加上去。請參考(留言#3 - 「問題追蹤List」)

  • 請務必使用(引用)及(靠右)功能
  • 已經解決嘅問題加上(刪除線)。



@居理夫人[Quote https://forum.hkgolden.com/thread/7803528/page/2Post 高町嘅問題]_<留言#26>
「windows有阻住user檢查自己係咪受到影響?? 」
#Windows #opensource #vulnerability #attack #backdoor #discussion #question

我嘅睇法係\(Open Source /// Close Source)

植入malicious code嘅難度:(更容易///有一定門檻)
被發現嘅難度:( 難講 )
處理速度(警告或patch):( 更早更快///示乎發現者嘅立場)


不論open source定close source,其實都有可能會隱瞞漏洞嘅發現,去避免引起恐慌或暫緩漏洞嘅擴張去造成更多破壞。

不過我認為Linux world係更開明,更多方嘅力量投入(搵漏洞、patch)。Linux kernel一路以嚟嘅 mail list都係Transparent,方便啲人去參與同埋Review。

例如今次發現漏洞,全世界都好驚訝,所有distro 都走出嚟提醒用家更新及檢查。好多專家都出嚟分析,甚至去起底,驚有更多地方被植入後門。



但Windows依類close source就唔同,主要應該係靠內部嘅人去發現漏洞,至於外部有啲公司係靠bounty去吸引white hat上交。
問題就喺依度,好處就係可以要脅大公司就範;唔好處就係漏洞繼續拖住拖住,啲公司又會為咗利益唔即係比大眾知道危機,直到patch咗先講出嚟。


close source 仲有一個問題就係會受政府或組織威脅,malicious code就更加難發現。


一般user code 嚟講,確實無咁嘅必要性去深入source code 搵漏洞。但open source你有一個更好嘅platform去討論問題。
例如Windows 成日爆咩咩漏洞,一般user除咗喺啲新聞版下面HiHiHi就冇咗回事。

open source 有github等等嘅地方,比人去針對性提出問題。今次一聽到sshd, systemd, xz, debian, fedora, 其實都太概了解到個影響範圍,啲人可以知道自己用緊嘅system甚至自己Develop 緊嘅project有冇受到影響。


好似今次Arch因為唔係直接用tarballs嘅xz-util release binary,同埋冇用到sshd 嘅systemd notification function 所以就算係rolling release都唔怕中招。Arch forum 好多澄清



比想像中複雜,我以為只係綁架咗sshd個public credential再通過private credentials去外部執行malicious command


比想像中複雜,我以為只係綁架咗sshd個public credential再通過private credentials去外部執行malicious command

https://youtu.be/ixn5OygxBY4


比想像中複雜,我以為只係綁架咗sshd個public credential再通過private credentials去外部執行malicious command

https://youtu.be/ixn5OygxBY4

無嘢了依個係另一個exploit 嚟


上個linux post條link消失咗
係咪我share出嚟條4chxn link出咗事?[shocking] [shocking] [shocking]

高登3個月就會hide post

睇#0


比想像中複雜,我以為只係綁架咗sshd個public credential再通過private credentials去外部執行malicious command

https://youtu.be/ixn5OygxBY4

無嘢了依個係另一個exploit 嚟

睇唔明 每個process唔係有自己獨立memory space 點解double free可以影響到kernel

佢應該係利用咗 data 佔用過多virtual memory page,滿溢造成 fragmentation in physical memory page.。

因為vm嘅page寛度超過pm好多,當一個process嘗試寫入超過vm page嘅大小,kernel會喺pm上面再開一個vm page去繼續寫入剩低嘅嘢。





冇直接責任, 但Systemd最大問題係乜都管
attack surface大就梗架喇, 不過依家慘左佢既alternative唔夠feature complete

你覺得依單嘢算唔算係open source 醜聞?


睇埋佢其他reply, 其實佢以為open source = 個個可以edit, 係理解錯個新聞
xz入backdoor個個係co-maintainer, 所以先有right, 佢唔係任何人, 佢係得到原本developer既「信任」

即係而家最大個問題其實唔係edit right
而係identify 唔到呢個co-maintainer嘅真實身份

呢單野令我諗起EU想通過嗰條cyber resilience act
如果通過咗,個maintainer可能破產都唔掂

係,如果個software 係employee edit only, 咁就比較大機會捉到凶手

但大份部份open source software都係anonymous,依個絕對唔係佢嘅缺點嚟。但我會擔心囉


#ng#
https://upload.hkgolden.media/comment/o042esqk.sfhasy5fz5e.axtcdniyzrh.htg.png



依單嘢最慘真係個maintainer

唯一postivie 嘅係,開始多人關心maintainer , 好多人提出建議


依單嘢最慘真係個maintainer

唯一postivie 嘅係,開始多人關心maintainer , 好多人提出建議

仲有就係知道inject 有幾咁sneaky

大家變得更小心。不論蚑共定美國NSA都係 FOSS嘅敵人


如果你驚呢條友係針, 首先唔好裝arch, 同埋唔用得fcitx/fcitx5, 咁只可以用gnome/x11
ibus wayland只有係gnome work, 用wlroots/kde係唔多work
一係用返x11, 但ibus都係煩

我唔討厭/排斥/歧視 中国dev,我一直都覺得中國cs , coder係有啲料到。佢哋好識整合啲功能,變singlw powerful tool (唔係we7嗰種)


但與蚑共有關,我一律排斥


Plasma 更新6好多改動好唔慣

第一)好多widget 要update QT6先用到,7成來自plasma 5嘅widget同埋Theme都變壞咗
其實依個就唔算好大問題,反正我都想幫下port一個widget。


第二:個Setting menu大改

第三:冇得再喺battery tray icon到較亮度(唔明點解要為咗整潔咁搞法)
佢咁改個,可能有好多widget都要重試
https://www.debugpoint.com/kde-plasma-6/#Plasma_workspace
Plasma gets a new applet that separates battery and brightness indicators, with night colour integrated into the brightness indicator. This handy applet improves the organization and readability of system information in your Plasma panel. This change also fixes some existing bugs with a new camera indicator with the camera state.
https://www.debugpoint.com/wp-content/uploads/2024/01/Battery-and-brightness-are-now-separate-in-panel.jpg



KDE有提供 document點樣port Qt5去QT6


不過整體感覺

plasma 6 wayland 係順過plasma 5 wayland
(唔好問我X11,我9成時間喺wayland)


Open source Wiki with .js
https://js.wiki/


原來牛叔生Cancer
Stallman appeared seated, and was wearing an antiviral face mask, which he urged the audience to do as well. The result is that his voice was muffled, causing members of the audience to call out that they could not hear him. He said that he is suffering from follicular lymphoma, a form of non-Hodgkin lymphoma.
https://regmedia.co.uk/2023/09/29/rms-biel.jpg?x=648&y=364&infer_y=1https://preview.redd.it/im-worried-can-anyone-confirm-this-dose-stallman-have-cancer-v0-tu2c3rieb4rb1.png?width=610&format=png&auto=webp&s=e53b5818366f51a65b1774392f55c26e5a563273



係咪NSA落藥O:-)tri


有冇人知喺屋企起個server個流程(hardware+software)係點?
自己整個web app(frontend,backend,db)想放出街連到
用aws太貴[sosad]

首先起個server, 睇下個service listen邊個port, tcp定udp, firewall開咗個port佢
之後router set port forward去嗰部機嗰個port
最基本應該係咁 但係咪安全就另一回事
有巴打話好易俾人DDoS[bouncer]

最基本嘅好似係用wireguard, tor去secure 個Connection


其實Windows Server係針對咩客戶?

我眼中用緊Windows Server嘅公司都唔會想update "If the code works don't touch it"
而大部份都會選擇Linux啦,連M$自己Azure都係Linux


但Windows Server仲keep住有新版本出


跳至第

高登主頁 » 討論區 » 軟件台

Locked 此貼文已鎖,將不接受回覆。



  快速回覆 - 輸入以下項目

本討論區現只接受會員張貼文章,本站會員請先登入。非會員人仕,您可以按此加入為新會員,費用全免,並可享用其他會員服務。


上次光臨時間: 25/7/2024 23:42
今天貼文總數: 623 | 累積文章數目: 7,280,992

聯絡我們 | 服務條款 | 私隱政策 | 廣告查詢 | 職位空缺
Copyright © 2024 HKGolden.com. All Rights Reserved.