主頁 高登熱話 吃喝玩樂 科技消費 名人專訪 短片
現有會員可[按此]登入。未成為會員可[按此]註冊。
[公司模式 - 關]  [懷舊模式 - 開
[Youtube 預覽 - 關]  [大字型]  [小字型]

您現在聚腳在 軟件台內。

即日起停收SMS會員

香港高登討論區曾接納用戶以SMS註冊成為會員,惟發現不少人濫用SMS會員登記,註冊帳號只作洗版宣傳之用#kill2# 。為防止問題惡化,本站決定即日起停收SMS會員,並改行ISP電郵加上SMS認證。

新註冊規則如下:
1. 部份獲認可的ISP或學校電郵仍可直接申請帳號#good#
2. 由於部份ISP容許用家任意更改電郵名稱,所以我們會同時要求這些電郵用戶提供手提電話號碼,作SMS認證#adore# ; ......
精選文章
DeerGamer
New App Android IOS
高登主頁 » 討論區 » 軟件台

Locked 此貼文已鎖,將不接受回覆。

跳至第

發起人
Linux 高登集中討論post (#6)|打到機|xz被殖入backdoor
1001 個回應
居理夫人

第一次接觸Linux嘅朋友,可以參閱依份Document:

我哋今次嘅主題係:
「 發現Open Source software重大危機,全城關注(CVE-2024-3094)。」
https://access.redhat.com/security/cve/CVE-2024-3094
「越嚟越多人開始關注,RedHat rate as 10.0 critical。

除咗lzmalib( part of xz packages)外,backdoor injector (Jia Tua)有參與過kernel code contribution。不排除會有法律行動 」 https://upload.hkgolden.media/comment/pbulbcr3.iaroesikgzn.2qoelszx3p5.ecx.jpg

可惜無爆1001。懶了,快快手開個Post比大家討論


前一個post[5] (2023年12月30日 08:22):
Linux 高登集中討論post (#5)|打到機|電腦世界嘅自由 同樣重要
https://forum.hkgolden.com/thread/7773360/page/1

第四個post ( 2023年11月6日 01:23):Linux 高登集中討論post (#4)|Linux可以打機|支持本地資源/MrA
https://forum.hkgolden.com/thread/7754692/page/1

第三個post ( 2023年10月18日 15:00):Linux 高登集中討論post (#3)|我一律不建議使用Ubuntu/Manjaro
https://forum.hkgolden.com/thread/7748073/page/1

第二個post (2022年5月11日 20:50):Linux 高登集中討論post (#2)|無限制|TrannyOS好用|GTK正垃圾
https://forum.hkgolden.com/thread/7561720/page/1
第一個post (2022年4月4日 05:35):Linux 集中討論post (1)|無限制~2022年新年快樂

https://forum.hkgolden.com/thread/7520641/page/1



#good2#3    #bad#0  
標籤:
=https://upload.hkgolden.media/comment/ocyehllx.e2qjtkm2wnp.20jwp3vv1fj.ytp.jpg
https://i.ytimg.com/vi/oW84vko63KY/sddefault.jpg
https://upload.hkgolden.media/comment/msq2gjsa.yzkzzhubcbp.dsyxael3hqb.jnp.jpg



@居理夫人[Quote https://forum.hkgolden.com/thread/7803528/page/2Post 高町嘅問題]_<留言#26>
「windows有阻住user檢查自己係咪受到影響?? 」
#Windows #opensource #vulnerability #attack #backdoor #discussion #question



問題追蹤List


#3



@所有人
#Question #Issue #Troubleshooting #Index

為方便追蹤並回覆大家嘅問題
當你於提出咗問題之後,引用(前提問者)嘅「問題追蹤List」,並寫上你條問題嘅編號

例如(留言#2)我打咗條問題,我就將嗰一層嘅編號加上去。請參考(留言#3 - 「問題追蹤List」)

  • 請務必使用(引用)及(靠右)功能
  • 已經解決嘅問題加上(刪除線)。



@居理夫人[Quote https://forum.hkgolden.com/thread/7803528/page/2Post 高町嘅問題]_<留言#26>
「windows有阻住user檢查自己係咪受到影響?? 」
#Windows #opensource #vulnerability #attack #backdoor #discussion #question

我嘅睇法係\(Open Source /// Close Source)

植入malicious code嘅難度:(更容易///有一定門檻)
被發現嘅難度:( 難講 )
處理速度(警告或patch):( 更早更快///示乎發現者嘅立場)


不論open source定close source,其實都有可能會隱瞞漏洞嘅發現,去避免引起恐慌或暫緩漏洞嘅擴張去造成更多破壞。

不過我認為Linux world係更開明,更多方嘅力量投入(搵漏洞、patch)。Linux kernel一路以嚟嘅 mail list都係Transparent,方便啲人去參與同埋Review。

例如今次發現漏洞,全世界都好驚訝,所有distro 都走出嚟提醒用家更新及檢查。好多專家都出嚟分析,甚至去起底,驚有更多地方被植入後門。



但Windows依類close source就唔同,主要應該係靠內部嘅人去發現漏洞,至於外部有啲公司係靠bounty去吸引white hat上交。
問題就喺依度,好處就係可以要脅大公司就範;唔好處就係漏洞繼續拖住拖住,啲公司又會為咗利益唔即係比大眾知道危機,直到patch咗先講出嚟。


close source 仲有一個問題就係會受政府或組織威脅,malicious code就更加難發現。


一般user code 嚟講,確實無咁嘅必要性去深入source code 搵漏洞。但open source你有一個更好嘅platform去討論問題。
例如Windows 成日爆咩咩漏洞,一般user除咗喺啲新聞版下面HiHiHi就冇咗回事。

open source 有github等等嘅地方,比人去針對性提出問題。今次一聽到sshd, systemd, xz, debian, fedora, 其實都太概了解到個影響範圍,啲人可以知道自己用緊嘅system甚至自己Develop 緊嘅project有冇受到影響。


好似今次Arch因為唔係直接用tarballs嘅xz-util release binary,同埋冇用到sshd 嘅systemd notification function 所以就算係rolling release都唔怕中招。Arch forum 好多澄清



比想像中複雜,我以為只係綁架咗sshd個public credential再通過private credentials去外部執行malicious command


比想像中複雜,我以為只係綁架咗sshd個public credential再通過private credentials去外部執行malicious command

https://youtu.be/ixn5OygxBY4


比想像中複雜,我以為只係綁架咗sshd個public credential再通過private credentials去外部執行malicious command

https://youtu.be/ixn5OygxBY4

無嘢了依個係另一個exploit 嚟


上個linux post條link消失咗
係咪我share出嚟條4chxn link出咗事?[shocking] [shocking] [shocking]


比想像中複雜,我以為只係綁架咗sshd個public credential再通過private credentials去外部執行malicious command

https://youtu.be/ixn5OygxBY4

無嘢了依個係另一個exploit 嚟

呢條先係
https://www.youtube.com/watch?v=jqjtNDtbDNI
low level programming呢條友今個禮拜啲片好多人睇[sosad]


上個linux post條link消失咗
係咪我share出嚟條4chxn link出咗事?[shocking] [shocking] [shocking]

高登3個月就會hide post

睇#0


上個linux post條link消失咗
係咪我share出嚟條4chxn link出咗事?[shocking] [shocking] [shocking]

高登3個月就會hide post

睇#0

咁如果無bookmark或者無history
要點先可以搵得返個post


上個linux post條link消失咗
係咪我share出嚟條4chxn link出咗事?[shocking] [shocking] [shocking]

高登3個月就會hide post

睇#0

咁如果無bookmark或者無history
要點先可以搵得返個post

ddg


https://www.youtube.com/watch?v=QsM6b5yix0U
呢個nas broad又幾正
2.5 G ethernet, 4條ssd, low power, 細部, 幾抵
冇咩可以投訴


比想像中複雜,我以為只係綁架咗sshd個public credential再通過private credentials去外部執行malicious command

https://youtu.be/ixn5OygxBY4

無嘢了依個係另一個exploit 嚟

睇唔明 每個process唔係有自己獨立memory space 點解double free可以影響到kernel


比想像中複雜,我以為只係綁架咗sshd個public credential再通過private credentials去外部執行malicious command

https://youtu.be/ixn5OygxBY4

無嘢了依個係另一個exploit 嚟

睇唔明 每個process唔係有自己獨立memory space 點解double free可以影響到kernel

唔太識, 以我所知, C/C++做double free既話係undefined behavior
即係話實際發生咩事係由compiler決定


比想像中複雜,我以為只係綁架咗sshd個public credential再通過private credentials去外部執行malicious command

https://youtu.be/ixn5OygxBY4

無嘢了依個係另一個exploit 嚟

睇唔明 每個process唔係有自己獨立memory space 點解double free可以影響到kernel

佢應該係利用咗 data 佔用過多virtual memory page,滿溢造成 fragmentation in physical memory page.。

因為vm嘅page寛度超過pm好多,當一個process嘗試寫入超過vm page嘅大小,kernel會喺pm上面再開一個vm page去繼續寫入剩低嘅嘢。





冇直接責任, 但Systemd最大問題係乜都管
attack surface大就梗架喇, 不過依家慘左佢既alternative唔夠feature complete


比想像中複雜,我以為只係綁架咗sshd個public credential再通過private credentials去外部執行malicious command

https://youtu.be/ixn5OygxBY4

無嘢了依個係另一個exploit 嚟

睇唔明 每個process唔係有自己獨立memory space 點解double free可以影響到kernel

佢應該係利用咗 data 佔用過多virtual memory page,滿溢造成 fragmentation in physical memory page.。

因為vm嘅page寛度超過pm好多,當一個process嘗試寫入超過vm page嘅大小,kernel會喺pm上面再開一個vm page去繼續寫入剩低嘅嘢。


原來係operating system 嘢 以前學過吓 好難入手 xx(



冇直接責任, 但Systemd最大問題係乜都管
attack surface大就梗架喇, 不過依家慘左佢既alternative唔夠feature complete

你覺得依單嘢算唔算係open source 醜聞?



冇直接責任, 但Systemd最大問題係乜都管
attack surface大就梗架喇, 不過依家慘左佢既alternative唔夠feature complete

你覺得依單嘢算唔算係open source 醜聞?

睇你咩角度, 保安角度唔算
closed source software一樣用呢D細open source project, 比如curl之類
supply chain attack兩樣都會中招, 所以無關係

但呢單野曝露左個問題, 就係open source funding既問題
好多呢D single maintainer既open source project, 冇得到相應既compensation
而D大project depend on呢D project, 就好易出事

xz呢個developer講緊話佢有 mental health issue, 其實係想有人幫
hacker就利用呢點玩心理戰, 用good cop bad cop咁迫個developer搵多個co-maintainer (上面條link有講)
最後成事

不過有時唔係錢既問題, 有D project人地真係當hobby
你比錢人人地要當份工, 可能影響原本工作, D developer都未必鐘意
應該D公司想個supply chain冇事, 一係請呢個single developer, 一係請多個人
就係收錢maintain專呢D project, 咁間公司既project就穩陣

而呢個亦係open source既原意, D code從來冇warrant
你要warrant就要請人做, open source都比空間你放上upstream
問題依家D公司就鐘意做free rider, 免費咪拿黎用, 唔想付出, 但又識開issue嘈



冇直接責任, 但Systemd最大問題係乜都管
attack surface大就梗架喇, 不過依家慘左佢既alternative唔夠feature complete

你覺得依單嘢算唔算係open source 醜聞?

兒登有人話
應該要俾人睇code, 因為要有透明度
但唔可以open source, 比外人有edit right 亂commit
Windows就做得好, 因為得M$有edit right
幾獨特嘅見解


跳至第

高登主頁 » 討論區 » 軟件台

Locked 此貼文已鎖,將不接受回覆。



  快速回覆 - 輸入以下項目

本討論區現只接受會員張貼文章,本站會員請先登入。非會員人仕,您可以按此加入為新會員,費用全免,並可享用其他會員服務。


上次光臨時間: 24/6/2024 9:22
今天貼文總數: 332 | 累積文章數目: 7,270,983

聯絡我們 | 服務條款 | 私隱政策 | 廣告查詢 | 職位空缺
Copyright © 2024 HKGolden.com. All Rights Reserved.