Secure Liaison

XZ UtilsのSWサプライチェーンとOSSエコシステムの話

Listen Later

(収録日: 2024/04/14)

# 感想はSNSでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

  • XZ Utilsに脆弱性が埋め込まれた話
    • OSSエコシステムの課題と、それに対する立法的アプローチ、技術的アプローチ等の話


      • # 参照

      ## 経緯

      • https://research.swtch.com/xz-timeline
      • https://www.mail-archive.com/[email protected]/msg00567.html
      • https://techcrunch.com/2024/04/02/open-source-foundations-unite-on-common-standards-for-eus-cybersecurity-resilience-act/


        • ## CVEそのもの

        • SIOS: https://security.sios.jp/vulnerability/xz-security-vulnerability-20240330/
        • Sysdig: https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/?utm_campaign=Oktopost-2024+Blogs+and+Articles&utm_content=Oktopost-twitter&utm_medium=twitter&utm_source=organic-social&utm_term=Blog%2CThreat+Research%2CVulnerability
        • Ossf: https://openssf.org/blog/2024/03/30/xz-backdoor-cve-2024-3094/
        • CISA: https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094


          • ## 関連PR

          • https://github.com/libarchive/libarchive/pull/1609
          • https://gist.github.com/smx-smx/a6112d54777845d389bd7126d6e9f504
          • https://web.archive.org/web/20240329180818/https://github.com/tukaani-project/xz/pull/86

            • #積ん読

            • なし

              • # 参加者: 中谷さん、ken5scal

              ...more
              View all episodesView all episodes
              Download on the App Store
              Secure LiaisonBy Secure旅団

              More shows like Secure Liaison

              View all
              セキュリティのアレ by セキュリティのアレ

              セキュリティのアレ

              1 Listeners

              ゆる言語学ラジオ by Yuru Gengogaku Radio

              ゆる言語学ラジオ

              53 Listeners

              ゆるコンピュータ科学ラジオ by ゆるコンピュータ科学ラジオ

              ゆるコンピュータ科学ラジオ

              18 Listeners