April 18, 2024

XZ UtilsのSWサプライチェーンとOSSエコシステムの話

Listen Later

50 minutes

(収録日: 2024/04/14)

# 感想はSNSでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

XZ Utilsに脆弱性が埋め込まれた話

OSSエコシステムの課題と、それに対する立法的アプローチ、技術的アプローチ等の話

# 参照

## 経緯

https://research.swtch.com/xz-timeline

https://www.mail-archive.com/[email protected]/msg00567.html

https://techcrunch.com/2024/04/02/open-source-foundations-unite-on-common-standards-for-eus-cybersecurity-resilience-act/

## CVEそのもの

SIOS: https://security.sios.jp/vulnerability/xz-security-vulnerability-20240330/

Sysdig: https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/?utm_campaign=Oktopost-2024+Blogs+and+Articles&utm_content=Oktopost-twitter&utm_medium=twitter&utm_source=organic-social&utm_term=Blog%2CThreat+Research%2CVulnerability

Ossf: https://openssf.org/blog/2024/03/30/xz-backdoor-cve-2024-3094/

CISA: https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094

## 関連PR

https://github.com/libarchive/libarchive/pull/1609

https://gist.github.com/smx-smx/a6112d54777845d389bd7126d6e9f504

https://web.archive.org/web/20240329180818/https://github.com/tukaani-project/xz/pull/86

#積ん読

なし

# 参加者: 中谷さん、ken5scal

...more

View all episodes

View all episodes

Download on the App Store

Download on the App Store

Get it on Google Play

Secure Liaison

By Secure旅団

April 18, 2024

XZ UtilsのSWサプライチェーンとOSSエコシステムの話

Listen Later

50 minutes

(収録日: 2024/04/14)

# 感想はSNSでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

XZ Utilsに脆弱性が埋め込まれた話

OSSエコシステムの課題と、それに対する立法的アプローチ、技術的アプローチ等の話

# 参照

## 経緯

https://research.swtch.com/xz-timeline

https://www.mail-archive.com/[email protected]/msg00567.html

https://techcrunch.com/2024/04/02/open-source-foundations-unite-on-common-standards-for-eus-cybersecurity-resilience-act/

## CVEそのもの

SIOS: https://security.sios.jp/vulnerability/xz-security-vulnerability-20240330/

Sysdig: https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/?utm_campaign=Oktopost-2024+Blogs+and+Articles&utm_content=Oktopost-twitter&utm_medium=twitter&utm_source=organic-social&utm_term=Blog%2CThreat+Research%2CVulnerability

Ossf: https://openssf.org/blog/2024/03/30/xz-backdoor-cve-2024-3094/

CISA: https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094

## 関連PR

https://github.com/libarchive/libarchive/pull/1609

https://gist.github.com/smx-smx/a6112d54777845d389bd7126d6e9f504

https://web.archive.org/web/20240329180818/https://github.com/tukaani-project/xz/pull/86

#積ん読

なし

# 参加者: 中谷さん、ken5scal

...more

More shows like Secure Liaison

Rebuild by Tatsuhiko Miyagawa

Rebuild

52 Listeners

backspace.fm by backspace.fm

backspace.fm

10 Listeners

セキュリティのアレ by セキュリティのアレ

セキュリティのアレ

1 Listeners

ゆるコンピュータ科学ラジオ by ゆるコンピュータ科学ラジオ

ゆるコンピュータ科学ラジオ

20 Listeners