Log for Ubuntu 台灣社群

笑爛

笑爛

到現在我還是覺得三元運送子很難閱讀，尤其裡面是賽一大串判斷運算式，會很難發現分號和問號位置，變成一大段根本不知道在搞什麼的程式碼

把保留關鍵字當成變數名稱，寫出一大段不知到在搞什麼的程式碼，可以用 IDE 套件檢查標示出來

沒錯我發現我是台灣第一個ports

我真的決定aarch64應該放進main repo而不是ports

其實這邊有 XD

https://ftp.ubuntu-tw.org/ubuntu-ports/

但他沒進官方清單啊啊啊啊啊

只好戳 ... BlueT

只好幫他送了

我甚至覺得他ubuntu-cd那個也是要送 release那頁

archive mirrors 跟 cd mirrors 都有放了

ports 印象不像另外兩個有那個頁面

不是

那東西不是那樣運作的

你想講的是哪一個 @@

你想講的是哪一個 @@

這個

還有這個

他運作的方式是

他會去你給的路徑跑爬蟲
看有什麼arch release
image的話是flavor release

https://launchpad.net/ubuntu/+mirror/mirror.twds.com.tw-archive2
你去看這頁底下

我覺得他應該不會掃其他路邊發行版的-cd

他有那個欄位

雖然但是我們的cd同步不完阿阿阿阿

所以它可能會掃出kubuntu嗎

不然放這個幹嘛

可能中國版

flavor 沒有吧 ... 他同步的上游路徑就根本不一樣了，一般不會對 cdimage 做同步

所以那個欄位幹嘛的

placeholder

我也不知道，但先撇開他呈現方式也許就 placeholder 還是之前設計了想用沒用，但那個 mirror 的運作方式就不是那樣 XD

除非現在運作方式有變，過往上游來掃的時候我是沒看過有來掃 flavours ... 你講會來掃的應該是 architect 跟版本而已

xz 在 GitHub 上发布的 tarball 的 m4 中包含了恶意后门代码。

如非特别标注，以下链接中内容均为英文。

oss-security 邮件列表: https://www.openwall.com/lists/oss-security/2024/03/29/4

debian-security-announce 邮件列表: https://lists.debian.org/debian-security-announce/2024/msg00057.html

CVE: https://www.cve.org/CVERecord?id=CVE-2024-3094

NVD: https://nvd.nist.gov/vuln/detail/CVE-2024-3094

GitHub Advisory Database: https://github.com/advisories/GHSA-rxwq-x6h5-x525

Red Hat Customer Portal: https://access.redhat.com/security/cve/CVE-2024-3094

Red Hat Blog: https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

Red Hat Bugzilla: https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2024-3094

Debian Security Bug Tracker: https://security-tracker.debian.org/tracker/CVE-2024-3094

SUSE Security: https://www.suse.com/security/cve/CVE-2024-3094.html

SUSE Bugzilla: https://bugzilla.suse.com/show_bug.cgi?id=CVE-2024-3094

Gentoo's Bugzilla: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2024-3094

Arch Linux News: https://archlinux.org/news/the-xz-package-has-been-backdoored/

Arch Linux Advisories: https://security.archlinux.org/ASA-202403-1

==== 忙着查资料的被子饼 ====
目前的证据表明这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本，且均已发布回退更新

目前确定曾受影响的发行版：
Debian unstable/testing between 2024-02-26 and 2024-03-29
Ubuntu noble-proposed/noble-release between 2024-02-26 and 2024-03-29
Fedora 40/41(Rawhide) between 2024-02-27 and 2024-03-29
openSUSE Tumbleweed between 2024-03-07 and 2024-03-28

還好在測試版就被發現了

不過也是活了一個月..

arch成為唯一受災戶

arch的建構方式好像不會觸發投毒，但確實是有滾到有問題的版本

sshd是不是也

就是針對sshd投毒

Gentoo：

欸不是

你各位不用睡噢

三小 我大夜班欸

你現在知道fedora為什麼同步不完了(X

我也大夜班不行嗎(X

好狠

本群也要變成24小時都有人在線上的群組了嗎

剛好只裝到 20240306 版本…

gentoo 有時候也是蠻慢的吧

好扯喔
hacker 潛伏兩年才埋後門

各位同胞们好

有人用新出的ultra系列cpu安装过ubuntu吗

有点尴尬

你們好

看起來是沒有

我本来在探索如何在ultra9的cpu上面如何安装ubuntu,没想到遇到了你们，有点开心

但是想安装windows+ubuntu双系统来使用，貌似我的电脑不支持linux系统

誰同胞😡

啊

我们以学习为目标，不谈这些，我本来一心研究技术，不会说话

嘴笨，对不起

沒聽過 Linux 不支援現在的 CPU 的，可能 scheduling 比較差，但是用應該可以用
最多的是 GPU 不支援

你現在用 WSL 要看看 Intel 有沒有支援 WSL 的 driver

driver 有分 GPU 和 NPU ，看你應該是要跑 NPU
大陸那邊很多人應該都有弄安裝包和教程吧
刷 B 站的時候常看到和 intel 合作的UP主的置入廣告

ok，我刚刚又下载了一个最新版本ios镜像，准备再测试一下，主要在安装过程中gui分辨率特别小，字体非常大，所以我猜测应该是驱动没有适配，可能和cpu有关系

目前最新的是 24.04 吧，不過如果你要跑 AI
八成這個會踩到不少版本的雷

不想使用npu,就是CPU能正常使用ubuntu系统就可以

我准备现在再安装一次，顺便拍照留记录，一会我电脑发过程中的照片给你看

24.04 還沒出，不過你可以考慮用 ubuntu
https://cdimage.ubuntu.com/daily-live/current/

ok，我从第三方镜像源网站找一个24.04的

笑死

啊就還沒正式出來啊

少爺的專案直接被 GitHub 幹掉了

Mailinglist:
https://www.mail-archive.com/xz-devel@tukaani.org/

應該有每日建構版安裝鏡像可用

差一點 Ubuntu 24.04 就預帶有問題的 xz 軟體了

又多了一個不應該用 Arch 的理由（略

我估计我的机器已经装上了🌚

果然不该用还没发布的东西（

還好我都還在上古版本都還沒更新

arch的systemd没有链接libsystemd.so，这次应该没事（x

arch 的 sshd 也沒引入 liblzma

只是這次剛好沒觸發到惡意邏輯而已，實際上還是有安裝到惡意版本

build system也不會觸發注入後門

但版本是有問題的

反正還是更新比較好

嘛，这就是追新的代价了

我检查了下我管理的机器，有几个ubuntu noble在我检查的时候已经就降级到旧版了，我自己的桌面是有一台在我检查的时候还是中招的版本（

XZ 專案現在應該不用擔心缺維護者了，各大公司推人搶著加入

Arch用戶 無感

不是搶著fork嗎

等一下就會有FB版xz了

本来这种大家都在用的基础软件没几个人维护就很离谱

好的 我們有upstart

C 社自己都放生了（泣

C社搞的一堆東西都放生

自此之後不碰C社自己養的

mir Unity upstart

太慘了

Ubuntu 不要放生都好

都做到 24 了應該不至於... 吧？

不會啦，主要收入來源怎麼可能放生？

才不是，他們主要收入都是 Ubuntu Pro 授權和導入顧問服務

那個是品牌形象代表
就跟微軟不會放生 Windows 一樣

但會搞爛

確實

萬年CentOS 7

殺不死我的

已經死了

當然殺不死

沒錯 笑死

一整個就是

6

ubuntu24.04目前可以日用程度了没

只要你想，很早就能日用了，只是好不好用而已

我已把 Ubuntu 作為日常使用大約六年了

我曾經把Kali作為日常用了五年

我曾經把Kali作為日常用了五年

不說了 我都覺得我當時瘋了

然後 他是想問 穩定度吧

說得好像你現在是正常的一樣

亂講
我的Chromebook啟動後
是搭載Firefox的Debian Bullseye呦

非常正常

穩定度... 我最多連續 33X 天沒關過機，這算穩定嗎？
在 Ubuntu 18.04 的時候，當然是 Desktop 版本
如果不是當時社區電路維修停電兩小時，不然會更久

兄弟 他在問「24.04」的穩定度

我想表示 18.04 都穩定了那 24.04 應該也不會差到哪吧
（大概吧）

我還去moztw的攤位拿了貼紙貼上去

好嘛那那我沒資格講話，我現在還在用 22.04

其實24.04應該是新版
要日常使用的話
我建議25年Q2再來玩

我通常會等 .1 出來再裝

哈哈哈

不想面對新版的潛在問題

ZorinOS他們兩個月前才merge了jammy的分支

可以參考一下

可愛的OOM

可愛的 Segmentation Fault

謝謝 訓練跑到一半

殺我進程

可愛的奇怪驅動問題

可愛的Nvidia

以前在 16.04 領教過
從 18 開始我就一律等 .1 甚至 .2 才重灌上去

謝謝，我內顯

可愛的 AMD

还没发布吧（

一袋米要扛幾樓

除了那个xz外我已经被坑了

神羅天征

窩不知道🙊

根據某人算法，一袋米要扛 57 樓

有几个包他们在换成带t64后缀的包，然后有一个依赖还没换成带t64的，但是已经有其他的包依赖它了，比如open-vm-tools，就前两天的事

libvirt也是

24.04在路上了

我只是一般使用者，看不懂這些底層的設計🙈

那AM4的5700還能扛幾樓

今年還有新品呦

這我不知道
我看起來像測評人員嗎

你看起來一臉AMD

AMD 大好

我的 Ryzen 3400G 還能再戰十年

坑坑連綿到天邊

淦你是本來就想放這張嗎

ufw跟netplan半天繼續好好活著

只能說，笑死

八年了，唉唉

？

這個

兄弟 冷靜 那是TeaMeow
那個時候的Ubuntu還在Xenial呦

那時的 Ubuntu 還是用 Unity 呢

沒錯

此 Unity 非彼 Unity
但你懂我懂大家懂

根本黑歷史

亂講

Unity還是有優點的

很好看

但操作反人類

比如...比如...嗯

優碘

不要再臭了，都過去了

誰在臭 臭什麼

什麼snappy

現在預設的 Gnome3 講真的也沒好到哪裡

我怎麼聽不懂

心情好就卡爛

心情不好就卡更爛

有沒有可能 不是Gnome問題

你需要一張4090

我只是一般使用者，我不懂底層💩

你只需要更高的預算

但我裝過 Cinnamon 跟 kde，都順得跟什麼一樣

那是唬爛老闆的理由
我自己用，不需要

現在的AMD應該是要新的系統比較好

我說的不是獨立顯卡

一樣阿

patch都在新版本上

沒人記得他們有獨立顯卡

好吧，不過我那顆也舊了

你把 584 588 放在哪裡

坑裡

打工著呢

曾經礦潮在熱的時候，588 可是

雖然我是沒玩

amd_pstate_epp 也是新kernel才有

兄弟 我是574派的

問24.04穩定沒不如問24.04有什麼亮點

多了什麼改了什麼

再一個 snappy

超級亮

最不穩定的永遠是使用者

所以穩定是假議題

刪了apt

沒啦 開玩笑的

你就是使用者

就你不穩定

我新手時期曾刪過 Python

然後，耶

亂講 這是 追求

刺激

所以有啥大變化嗎

還是只是日常跳版本號而已

把各種東西版本更新一下

等正式發佈吧

加了一堆新安裝器

系統安裝介面變了

什麼時候預設的安裝介面能用

那才真的能好好推廣

不然每次用那個介面都卡成狗

到頭來還是 apt 最快

系統安裝改為預設最小安裝

不再預設安裝娛樂套件

不是，那個介面設計百分百有問題

我繼續Debian

啊對 一些軟體改用Flutter重寫了

Ubuntu 官方表態：https://discourse.ubuntu.com/t/xz-liblzma-security-update/43714

Snap

Snap 有賺錢所以不算

不活躍吧

現在主要應該是在 Telegram：https://t.me/ArchLinuxTaiwan

沒

XZ 上游 IRC 置頂的 FAQ：
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

Ubuntu自己有開的功能也不多

XZ Utils 上游官方表態：https://tukaani.org/xz-backdoor/

之前研究過，缺很多東西，明明生態很有料卻只開一點點功能🤔
不像 kubuntu ，我第一次裝下去的時候整個被驚艷到了，雖然它未必是最好的，但也算是告訴我井外世界的啟蒙教材。
但至於太懶而在後續裝 22.04 回到最最預設的 Ubuntu + Gnome3 又是另一個故事了（ing）

Whoever wants to see my penis erect now send a private message

#管理公示 King CCoC 2. 色情訊息 刪除訊息 + ban

systemd 開發者的表態：

> Libselinux pulls in liblzma too and gets linked into tons more programs than libsystemd. And will end up in sshd too (at the very
least via libpam/pam_selinux). And most of the really big distros tend do support selinux at least to some level. Hence systemd or not, sshd remains vulnerable by this specific attack.

來源：https://news.ycombinator.com/item?id=39867126