Спустя месяц после выпуска новой версии архиватора XZ 5.6.0 Андрэс Фрэйнд (Andres Freund, anarazel, PostgreSQL Developer & Committer) сообщил об обнаружении в нём бэкдора (тайного входа).
Уязвимости подвержены системы, использующие этот код. Поскольку код очень нов, то он пока что попал только в новейшие дистрибутивы (Red Hat Fedora Linux 40 и Fedora Rawhide, openSUSE Tumbleweed — но не Slowroll и Leap, другие). Пакеты с исправлением уже готовы. Перезагрузите систему после обновления. Пока что исправление сделали путём возврата к предыдущим версиям (XZ 5.4).
Атака выглядит весьма умелой. Код бэкдора хорошо прятали.
Открытие уязвимости ('Backdoor in upstream xz/liblzma leading to ssh server compromise")
Исследование уязвимости № 1 ("Everything I Know About the Xz Backdoor") (обновляется)
Исследование уязвимости № 2 ("FAQ on the xz-utils backdoor")
