詳細ｷﾎﾞﾝﾇ

https://gigazine.net/news/20260501-copy-fail/
これか

>https://gigazine.net/news/20260501-copy-fail/
>これか
すげえ…
（何言ってるか全然わかんねえ）

弱者男性かと思った

gigazineってまだあったんだな

でもそれってwindowsも同じなんじゃ？

アチャもろじゃくせい

>https://gigazine.net/news/20260501-copy-fail/
>これか

最初の数段落読んだだけだけど怖い
>攻撃成立にカーネルごとの細かい調整やタイミング競争が不要とされている点です。
確か5年ぐらい前にもpolkitの不備でroot権限昇格問題が有って、問題になってたけど、こちらは手軽さ(侵入速度)が桁違いにやばい
コンテナユーザーはGW明け待たずにさっさとカーネル引っ越し

誰でも管理者機能

>誰でも管理者機能
みんなで大家さんを思い浮かべた

原理的にこんな脆弱性が出る時点で現代のセキュリティ要件に耐えられん

もはやAI同士の戦い

これからいろいろ大変だけど
サーバー立ててる人はあせってくれ
おれは完全にひとりで使ってるだけだから自分以外にrootとれる人間が存在しねぇ

>これからいろいろ大変だけど
>サーバー立ててる人はあせってくれ
>おれは完全にひとりで使ってるだけだから自分以外にrootとれる人間が存在しねぇ
複数人で使ってる場合だとガチでヤバイね
ローカルでアクセスできる人がいれば乗っ取り放題ってことだよね

自分一人で使ってるから常にrootだわ

これレンタルサーバー業者とかヤバイんじゃないのか
共有サーバー乗っ取り放題だろ

長い目で見たら防御側が有利だと思うけど短期だと修正が間に合わんよね…

家庭向けルーターとか軒並みやばいんじゃ

俺に出来る対策はyum update -y
これだけだ

なあこれレンタルサーバー屋さん大変だねえではなくて
それ使ってる企業さん大変だねえでもなくて
その企業のサービス知らず知らずに利用してる俺たちがヤバいやつだな？

>長い目で見たら防御側が有利だと思うけど短期だと修正が間に合わんよね…
攻撃有利はいつの時代も同じだった
だからこれまでは穴見つけたら開発者にだけ連絡して公開は数十日待つって慣習があった
でもAI関係者は馬鹿だから目立てばいいとしか思ってないから意味も分からず大騒ぎ

>authencesnは自分が所有している正規のメモリ範囲を4バイト超えて勝手に使用していました。
クソがよぉ…

これrootのパスワード忘れた時とかに便利じゃん

>家庭向けルーターとか軒並みやばいんじゃ
またゾンビルーターが増えて踏み台にされるのか
コピペ荒らしに悩まされる虹裏には切実だな
荒らしのIP供給源はそれ（botnet）だから

>家庭向けルーターとか軒並みやばいんじゃ
理解してないのモロバレ（笑）

>理解してないのモロバレ（笑）
どういうことなのか教えてくれ

手順踏めば確実に再現できるって所はセキュリティ教材にうってつけだね

>どういうことなのか教えてくれ
日本語読めれば理解できるからちゃんと読んで…
>https://gigazine.net/news/20260501-copy-fail/

今回に脆弱性は内部犯限定
外部からの攻撃は出来ない

一般ユーザーがroot奪取できる脆弱性だけど攻撃自体はリモート不可だからこの脆弱性以外でリモートから一般ユーザーを奪取しないと成功しない
リモート攻撃よりも内部犯やソーシェルエンジンアリングとの重ね合わせが怖い

ルータってLinuxなんて積んで動かすもんだったっけか？
ファームウェア向けの奴でrootがなんだまで行くならアクセスしてるOSの問題だと思うが

Windows月例アップデートだってAI関係なく権限昇格の問題をFixしてたべ
大事なのはアプデが続くことだべー

ｷﾀ━━━(ﾟ∀ﾟ)━━━!!

ライナスおじさん邪魔だべー

>自分一人で使ってるから常にrootだわ
それはやめろ…

>自分一人で使ってるから常にrootだわ
駄目とわかっててもやっちゃうよなー
自分一人だと

>一般ユーザーがroot奪取できる
ん？それってUbuntuでは普通のことではないか？

初代ポケモンのセレクトバグの高度版みたいな感じか

むしろrootでは動かないツールもあるんだから常時rootはふかしだろ

>>自分一人で使ってるから常にrootだわ
>駄目とわかっててもやっちゃうよなー
>自分一人だと
俺は俺の家にサイバー犯罪も達者な強盗でも入ってこない限り大丈夫だな
友達も訪問者もいないし

オレオレ須藤さん

>むしろrootでは動かないツールもあるんだから常時rootはふかしだろ
たとえば？

sudoとsuが闘うスレ

ローカルユーザーが特権取れる脆弱性なんて結構な頻度で出てる
それと
>Copy Failが発生した技術的な原因は、LinuxカーネルでAEADを扱うalgif_aead.cに対し2017年に導入されたin-place最適化にあるとのこと。
めちゃくちゃよくあるバグっすね…
メモリ限られてるからしゃーないんだろうけどインプレイスアルゴリズムって普通はメモリ境界死ぬほど気をつけるもんなのに
本当にしょうもないミスだな

su -

>>むしろrootでは動かないツールもあるんだから常時rootはふかしだろ
>たとえば？
例えばも何もいくらでもあるだろ
まずデスクトップ関係がほとんど動かん

遊びで作ったUbuntuサーバーにいろいろ入れたらなくてはならないものになってた
1万円で買った中華のミニPCだからちょっと心配

他人をOSにログインさせてないなら問題ない
不特定多数が使うようなサービスも動かすな

>遊びで作ったUbuntuサーバーにいろいろ入れたらなくてはならないものになってた
>1万円で買った中華のミニPCだからちょっと心配
経験上ミニPCは電源周りが死にやすいから設定ファイルだけでもdotfilesとしてバックアップ取ったほうがいいな

>遊びで作ったUbuntuサーバーにいろいろ入れたらなくてはならないものになってた
>1万円で買った中華のミニPCだからちょっと心配
今度からはコンテナにしとくといいよ
マイグレがめちゃくちゃ楽

>めちゃくちゃよくあるバグっすね…
>メモリ限られてるからしゃーないんだろうけどインプレイスアルゴリズムって普通はメモリ境界死ぬほど気をつけるもんなのに
>本当にしょうもないミスだな
なんだかんだ新人入ってくるから仕方ないわ
新人入るのも必要だし
やっぱりLinusに口汚く罵られるのは必要

>でもそれってwindowsも同じなんじゃ？
Windowsを構成するクソコードが防壁になっている可能性

１ユーザーしか作ってない俺は大丈夫なはず

アクセス制限してるサーバなら侵入できたとしてもそもそもスクリプトを引用できないんじゃねえの
直で持ち込めるならあれだけど

自分以外ログインさせなければ問題ない脆弱性
そもそも外部にSSHなんてポート開けてないから

>例えばも何もいくらでもあるだろ
>まずデスクトップ関係がほとんど動かん
そうなの？たとえば？

スレの内容を理解できてるとしあきが多いことに驚く

Waylandとかroot実行禁止だったような

構築でしかLinux使わないからsudoの使い方知らんぜ

脆弱性舐めてるとしには
中国の天才ハッカーに期待するしかないな

>友達も訪問者もいないし

誰か灯台の人っぽく
情感たっぷりのポエムで説明して

>そうなの？たとえば？
chromiumが特権オプション使わないと動かない

今こそWindows使用者はLinuxに切り替えるべき

だからLinuxのセキュリティ神話は民生でそこまで浸透してないからだって昔から言われてただろ

普通に使っててもsuだとuid0のチェック引っかかるソフト結構あるよね

もろたでsudo

>だからLinuxのセキュリティ神話は民生でそこまで浸透してないからだって昔から言われてただろ
別に言われてないです…
まさかWindows信者？

>誰か灯台の人っぽく
>情感たっぷりのポエムで説明して
もう動画になってたはず

浸透もなにもPCエリア以外はほぼLinuxにシェア制圧されたんじゃ

カーネルを最新にすれば解決する
頑張ってね！

>カーネルを最新にすれば解決する
>頑張ってね！

須藤さんはどうなるの？

>須藤さんはどうなるの？
刺されて逃げたと思うよ

>須藤さんはどうなるの？
後任は佐藤さんです

万が一パッチあててGW中にシステム影響出したら会社傾く業種もあるんだろうなあ

>今回に脆弱性は内部犯限定
>外部からの攻撃は出来ない
ひとまず自分一人で使ってるPCに関しては大丈夫か

これWindowsのWSL2も影響受けるんです？

この手のパッチって再起動必須なんだろうか

個人で使ってるヤツならアプデで終わる
サーバーは…うん

報告者はコンテナ突破するおかわりPoC公開も予定されてんしょ？

Redhatもダメなんか

>Redhatもダメなんか
全部ダメです

直ちに影響はないけどRCEと組み合わさるとかなりヤバいんで軽視はできませんね

既存のセキュリティ破りまくりでヤバいから封印されてるClaudeの最新モデルの話？

人類の役に立っとるやん

なので最新のOSはRUSTでの書き直しが進んでる
c時代の問題は全て消える

linuxのわし
震えない