「クローズドソースなソフトウェアにバックドアはない。『文書化されてない管理用機能』や『誤って製品版に組み込まれた開発者用ツール』ならあるけど、バックドアはない」
こんな時間をかけてコミット権限を確保して犯行に及んだというのすさまじいな。元のメンテナの精神衛生も利用したというのこれホントに計画的にやったことなんだろうかなあ…… / XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog https://piyolog.hatenadiary.jp/entry/2024/04/01/035321
GitHubからBANされたからGithub pagesも止められてサイトにアクセスできなくなったと。
GitHubからBANしたらリポジトリへのアクセスも議論やその監査もできなくなるから確実にGitHubの悪手に見える。
メインメンテナはとばっちりだしな...GitHubに頼ることのリスクでもある。
https://tukaani.org/xz-backdoor/
attention duelists
akkoma 2024.03 stable has been release
this is an urgent security update, please apply it as soon as you get the time to
https://meta.akkoma.dev/t/akkoma-stable-2024-03-securer-i-barely-know-her/681
attention duelists, actual announcement incoming
we've got a pretty important security patch releasing this saturday (2024-03-30, that's the 30th march) at 12:00 UTC
it will be advisable that when it releases that you update asap
this should be synchronised with a few other projects if all goes smoothly - stay tuned
@gavi it seems that this has actually been in the tos for several years and flew under the radar https://old.reddit.com/r/selfhosted/comments/1bouuv7/warning_vultr_a_major_cloud_provider_is_now/kwua6k8/
Warning! if you are using Vultr, move your stuff off it ASAP! They are sneaking in a new awful clause in their their updated terms of service. Their new terms of service means they will claim full perpetual commercial rights over all hosted content.
There's no telling what this could be for, but most likely for AI.
https://www.reddit.com/r/selfhosted/comments/1bouuv7/warning_vultr_a_major_cloud_provider_is_now/
(Attached is images with alt text to the original post for those who don't wanna go to reddit)
@nanigashi Misskeyも同様です。
ちなみにPleromaも絵文字リアクションできるんですが、Likeの拡張じゃなくてEmojiReactというActivityを使っているので、未対応のサーバでは無視されています。 #fedibird
bad idea: A mouse cursor that's not just a simple floating pointer, it's a cat/dog paw... but it stretches all the way to an edge of the screen like it's a really long leg
@makihara えとね、ざっくり3ステップあるわけ。
最初にWebサーバが外部からの投稿データを受け取って、
1. ActivityPub::ProcessingWorker
2. DistributionWorker
3. FeedInsertWorker
という順序でワーカーが起動。
(1)は投稿データを解析して、投稿データとしてデータベースに記録+通知+(2)の起動
(2)はそれを全員共通のタイムラインに配送+(3)の起動
(3)はひとりひとりのタイムラインに配送
で、処理が詰まっている(順番待ちになっている)と、ひとりひとりのタイムラインに表示されるまでに3回待たないといけないのね。だから2倍も3倍も遅延するっていう。
購読とフォローはどちらも(3)で処理するから同じだよ。
ハッシュタグタイムラインは(2)で処理される。
内部の投稿は(1)の代わりに投稿APIの処理が走って、あと(2)以降は同じ。
htmlもCloudflareのキャッシュで返せていることを確認。ただCache-Controlレスポンスヘッダーがついてないためにブラウザが長期間キャッシュしてしまうおそれがある。htmlに対するオススメはmax-age=60もしくは300あたり。
---
続、Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ
https://www.publickey1.jp/blog/24/publickeydos_1.html
#bookmarks
何見てヨシって言ったんですか?~あなたの隣の重過失~|事件備忘録@中の人
https://note.com/case1112/n/n93c969e3ec18
現在こちらの手違いを発端としたDB上のデータトラブルでminazukey.ukあてに大量のアクセスが発生している状態です。
明確な発生トリガーが詳しく判明していませんが、先日HTTP通信を誤って行った結果DB異常が発生し、異常が発生してしまったPleroma/Akkoma系サーバーから時折幣サーバー宛に短時間に大量のアクセスが発生してしまうという異常挙動が起こっています。
このDBトラブルの解決のためにissueを建てて報告済みで、ソフトウェア側での改善対応を待っているという状態ですがまだ具体的には解決してません。
https://git.pleroma.social/pleroma/pleroma/-/issues/3252
そのためこの大量アクセスが発生していることが確認できたサーバー様からのアクセスを一時的にWAFでブロックしています。
相互で連合済みのサーバーの管理者様にはご迷惑をかけるため、こちらから連絡などしていますが、フォロー関係が無いサーバー様からもこのアクセス異常は発生しており、そういったサーバー様にはこちらから連絡せず一時的にWAFで通信を遮断しているという状態です。
そのためお手数をお掛けしますが利用者の皆様、また通信異常など発生してしまっているPleroma/Akkoma系のサーバー管理者の皆様、本当に申し訳ありません。ご理解のほどよろしくお願いします。
現在通信異常が発生していることを確認しWAFでアクセスを停止しているサーバー様(漏れがありそうなので確認でき次第追記します)
p.tty7.uk
uchu-teien.com
xxx.azyobuzi.net
syo.bar
そういえば、これは日本通信SIM側の問題ではないだろうけど
moto g100で日本通信のAPN設定を追加してても、何か(OS更新?)の際にヤマダニューモバイルに上書きされて通信できなくなることが何度かあった。APN欄の値が同じのは競合するっぽい。最後のAndroid12までそうだった。
結局もともと存在したb-mobileのAPNを選択したらトラブルなくなった。
Manjaroライトユーザー
ほぼブースト
気軽にフォローを(外)します
このアカウントの日本語公開投稿のライセンスはCC BY 4.0、ただし引用部分等を除く