issue
Rock and Stone, brother!
|
|
semteX
Risen from the banned
|
ja halt die goschn, ****. das is brutal.
die ganze supply chain sh1ce wird noch viel viel schlimmer werden, mit jeder web-app welche dynamisch hunderte dependencies zieht.
|
smashIt
master of disaster
|
der typ dürfte seit einiger zeit auch maintainer im linux-kernel sein. da werden jetzt wohl einige überstunden geschoben werden.
|
Philipp
Here to stay
|
Betrifft aber nur ganz aktuelle Distributionen, wie Rolling Releases (z.B. Arch), Betas (Fedora 40) und Entwicklerversionen (Debian Testing/SID, Fedora Rawhide).
|
Elbart
Here to stay
|
Das Github-repo wurde deaktiviert, aber die commit-links funktionieren (noch) auch mit https://git.tukaani.org/?p=xz.git;a=commit;h= vor dem Hash. Einen Aspekt verstehe ich nicht: That line is *not* in the upstream source of build-to-host, nor is build-to-host used by xz in git. However, it is present in the tarballs released upstream, except for the "source code" links, which I think github generates directly from the repository contents: Wie kann nur der source tarball betroffen sein? Wird der bei dem Projekt "händisch" hinzugefügt, und die Distros/Programme haben diesen tar benutzt, statt den, den Github automatisch aus dem Repo herstellt? EDIT: https://github.com/google/oss-fuzz/...ment-2027602656This PR should potentially be reverted #10667 because it was basically done to hide the exploit which was done through ifunc resolvers lol https://github.com/google/oss-fuzz/pull/10667xz: Disable ifunc to fix Issue 60259. #10667 https://bugs.chromium.org/p/oss-fuz...detail?id=60259Issue 60259: xz: Fuzzing build failure Ups.
Bearbeitet von Elbart am 30.03.2024, 10:49
|
Viper780
ModeratorEr ist tot, Jim!
|
die ganze supply chain sh1ce wird noch viel viel schlimmer werden, mit jeder web-app welche dynamisch hunderte dependencies zieht. Da hilft nur Runtime Vulnerability Analytics und Runtime Application Protection. Wenn das nur jemand in seine Observability Plattform einbauen würde?
|
semteX
Risen from the banned
|
Da hilft nur Runtime Vulnerability Analytics und Runtime Application Protection. Wenn das nur jemand in seine Observability Plattform einbauen würde? ich denke das wird kaum möglich sein, wir sollten aufgeben!
|
Rogaahl
Super Moderatorinterrupt
|
Betrifft aber nur ganz aktuelle Distributionen, wie Rolling Releases (z.B. Arch), Arch ist afaik nicht betroffen, weil ein check, eingebaut ist, der nur aktiviert, wenn es sich um ein *bian oder RPM based distro handelt.
|
Philipp
Here to stay
|
Nichtsdestotrotz hat man bei Arch Linux sogar neue Installations-images veröffentlicht.
|
Viper780
ModeratorEr ist tot, Jim!
|
|
Philipp
Here to stay
|
Debian scheint die Source Pakete direkt von tukaani.org zu importieren: Problems while searching for a new upstream version
uscan had problems while searching for a new upstream version: In debian/watch no matching files for watch line https://tukaani.org/xz/xz-([\d.]*(?:beta)?)\.tar\.xz https://tracker.debian.org/pkg/xz-utils
|
t3mp
I Love Gasoline
|
Das ist übliche Vorgehensweise. Ein automatisch generiertes GitHub Tag Archiv ist kein richtiger Release Tarball, die Hashes sind nicht garantiert stabil. Davon abgesehen ist es völlig normal, dass der Release Tarball vom Tag Archiv abweicht - da werden Translations oder Dokumentation eingespeist, git submodules (die im Tag Archiv fehlen) ergänzt, etc.
Soll nicht heißen dass nicht allzu oft das GitHub Tag naserümpfend genommen wird weil sich upstreams nicht darum kümmern.
Bearbeitet von t3mp am 30.03.2024, 21:14
|
DKCH
...
|
ich denke das wird kaum möglich sein, wir sollten aufgeben! wenn du dich halt mal bemühen könntest…
|
Philipp
Here to stay
|
Jetzt verzögert sich auch das Release der Ubuntu 24.04 LTS Beta, die eigentlich Morgen erscheinen sollte, da Canonical alle Binärpakete neu erstellt. Hello everyone,
Canonical never stops working to keep Ubuntu at the forefront of safety, security, and reliability. As a result of CVE-2024-3094, Canonical made the decision to remove and rebuild all binary packages that had been built for Noble Numbat after the CVE-2024-3094 code was committed to xz-utils (February 26th), on newly provisioned build environments. This provides us with confidence that no binary in our builds could have been affected by this emerging threat. As a result of this, the Beta release for Ubuntu 24.04 LTS (Noble Numbat) has been pushed to April 11, 2024 (previously April 4, 2024).
We appreciate your understanding and thank the community members who are collaborating on our collective understanding of this emerging issue.
On behalf of the Ubuntu Release team,
-- Łukasz 'sil2100' Zemczak
|
smashIt
master of disaster
|
unser örtlicher installateur hat gerade eine mail an alle im ort rausgeschossen. mit cc, nicht bcc... wozu brauchen wir noch sicherheitslücken
|