Спустя месяц после выпуска новой версии архиватора XZ 5.6.0 исследователи из Red Hat обнаружили в нём бэкдор (тайный вход).

Уязвимости подвержены системы, использующие этот код. Поскольку код очень нов, то он пока что попал только в новейшие дистрибутивы (Red Hat Fedora Linux 40 и Fedora Rawhide, openSUSE Tumbleweed – но не Slowroll и Leap, другие). Пакеты с исправлением уже готовы. Перезагрузите систему после обновления. Пока что исправление сделали путём возврата к предыдущим версиям (XZ 5.4).

Атака выглядит весьма умелой. Код бэкдора хорошо прятали.

National Vulnerability Database: https://nvd.nist.gov/vuln/detail/CVE-2024-3094

Сообщение от Red Hat: https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

Сообщение от openSUSE: https://lists.opensuse.org/archives/list/factory@lists.opensuse.org/thread/4E6THBX3TMY5H7TBBBMQAQMZ3JX26A7D/

Сообщение от Debian: https://lists.debian.org/debian-security-announce/2024/msg00057.html

Phoronix об обнаружении бэкдора: https://www.phoronix.com/news/XZ-CVE-2024-3094

Phoronix о выпуске XZ 5.6: https://www.phoronix.com/news/XZ-5.6-Released

GitHub закрыл репозиторий: https://www.phoronix.com/news/GitHub-Disables-XZ-Repo

Копия репозитория: https://git.tukaani.org/?p=xz.git;a=tree

Исследование события (обновляется): https://boehs.org/node/everything-i-know-about-the-xz-backdoor

Ещё ссылки:

https://www.openwall.com/lists/oss-security/2024/03/29/4

https://lwn.net/Articles/967180/

https://www.mail-archive.com/xz-devel@tukaani.org/msg00567.html