| View previous topic :: View next topic |
| Author |
Message |
yayo
Tux's lil' helper
Joined: 19 May 2014
Posts: 100
|
 Posted: Mon Apr 01, 2024 4:43 pm Post subject: correlazioni tra backdoor xz e profilo 23.0? |
 |
|
Considerando la coincidenza temporale delle due cose, cioè il malware trovato in questi giorni nel pacchetto xz e il fatto che stiamo cambiando proprio adesso il profilo dal 17.1 al 23.0, potrebbero esserci secondo voi delle implicazioni a livello di sicurezza o stabilità di qualche tipo?
Io ho 2 pc, uno vecchio e uno nuovo, che tengo tutte e due aggiornati pressapoco con la stessa configurazione.
Ho aggiornato prima il vecchio per vedere come andava, peraltro senza problemi grossi.
Poi ho letto sta cosa del problema di xz e per prudenza ho sospeso qualche giorno per vedere come evolve.
Sto leggendo i thread e i vari link, ma non essendo sviluppatore/programmatore ci capisco poco.
E poi l'inglese lo mastico discretamente, ma non essendo madrelingua mi stanca leggerne pagine e pagine.
Mi par di capire che negli ultimi anni si sia fatto un certo uso "in fiducia" di quel pacchetto, in realtà già segnalato come problematico, col risultato che adesso bisognerà rivederne l'implementazione.
Ho visto un downgrade automatico i giorni scorsi alla versione 5.4.2 (l'ultima attribuita allo sviluppatore precedente), che in teoria dovrebbe essere sufficiente.
Dai post nel forum si capisce che più o meno tutti stanno aggiornando. Pare insomma che le due cose non abbiano correlazione.
Posso fidarmi? Voi avete già cambiato profilo su tutti i pc? : / |
|
| Back to top |
|
 |
sabayonino
Veteran
Joined: 03 Jan 2012
Posts: 1039
|
|
| Back to top |
|
|
yayo
Tux's lil' helper
Joined: 19 May 2014
Posts: 100
|
| Posted: Mon Apr 01, 2024 8:18 pm Post subject: |
|
|
Sì, stavo giusto leggendo la pagina glsa relativa, che addirittura parla di una combinazione di fattori non presente in gentoo ("current understanding of the backdoor is that is does not affect Gentoo systems"). Almeno per quanto si capisce al momento, perché la cosa è ancora in fase di approfondimento...
https://glsa.gentoo.org/glsa/202403-04
Ottimo. Grazie della conferma sabayonino! (^_^)b
Appena posso metto il pc al lavoro. L'altro c'ha messo 24h per ~875 pacchetti, questo dovrebbe essere molto più veloce.
Comunque mi incuriosisce 'sta cosa, continuerò a leggere per vedere cosa scoprono. (¬_¬) |
|
| Back to top |
|
|
fedeliallalinea
Administrator
Joined: 08 Mar 2003
Posts: 31276
Location: here
|
| Posted: Tue Apr 02, 2024 6:37 am Post subject: |
|
|
| sabayonino wrote: | | Se non utilizzi il servizio SSH accessibile a livello pubblico , puoi dormire sonni tranquilli. |
Da quello che ho capito non hanno ancora analizzato tutto quindi non si sa se è solo queso... ma speriamo.
_________________
Questions are guaranteed in life; Answers aren't. |
|
| Back to top |
|
|
sabayonino
Veteran
Joined: 03 Jan 2012
Posts: 1039
|
|
| Back to top |
|
|
yayo
Tux's lil' helper
Joined: 19 May 2014
Posts: 100
|
| Posted: Wed Apr 03, 2024 5:31 pm Post subject: |
|
|
Ok, ho fatto il cambio ieri sera/notte.
Dato che non c'erano controindicazioni evidenti...
Circa 8 ore e mezza per 917 pacchetti (praticamente 1/3 dell'altro pc).
Pare sia tutto funzionante.
Anche qui ho avuto qualche problemino, ma niente di serio, solo cose scoccianti (mi ero dimenticato di allargare un pochino lo spazio allocato per il disco ram per compilare i pacchetti grossi).
C'è solo 1 cosa su cui ho un dubbio:
se ricordo bene installando binutils compare un messaggio alla fine che ricorda di lanciare ". /etc/profile": non mi ricordo se l'ho fatto o no... O_o
Ma dato che lo dovevo comunque fare subito dopo, cioè al punto n.13 (e quello so di averlo fatto), dovrebbe essere a posto così. |
|
| Back to top |
|
|
|
Forum italiano (Italian)
la tranquillità non esiste ... chissà quanti bug di sicurezza non ancora scoperti ci saranno in giro
)