В коде xz/liblzma обнаружен бекдор

В коде xz/liblzma обнаружен бекдор, пакет xz до версии 5.6.1-2 уязвим для произвольного кода

пакет уже пофиксили рекомендуется обновиться

https://gitlab.archlinux.org/archlinux/packaging/packages/xz/-/commit/7c652d0757eb139de80ae38ff02a9cf235629739

https://www.openwall.com/lists/oss-security/2024/03/29/4

https://security.archlinux.org/ASA-202403-1

Так же удалите у себя если есть из доверенных ключ недобросовестного разработчика @JiaT75
https://github.com/tukaani-project

22D465F2B4C173803B20C6DE59FCF207FEA7F445
. GitHub заблокировал аккаунт @JiaT75
. Аккаунт Лассе Коллина @Larhzu также был приостановлен.
Github отключил все репозитории Tukaani, включая загрузки со страницы релизов.

Использовался в пакетах из aur
mingw-w64-xz.git
pacman-static.git

Также могли быть затронуты и другие проекты, Jia был частью проекта xz в течение 2 лет
Смотрите
https://news.ycombinator.com/item?id=39866275
Хронология
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
это может быть фейком-заманухой , чтобы протолкнуть дыру настоящую и побольше ?
С уважением, .
Bendalf
может быть фейком
бекдор реально встраивался при создании deb или rpm пакетов
https://research.swtch.com/xz-script
https://github.com/amlweems/xzbot
Bendalf
чтобы протолкнуть дыру настоящую
ну к xz теперь наоборот больше внимания, а переходить на другие библиотеки сжатия пока никто вроде не предлагал
vs220
другие библиотеки сжатия
есть же проверенные временем и до блеска много поточные версии бзип жезип 7зип. мне кажется они не хуже xz
С уважением, .
 
Зарегистрироваться или войдите чтобы оставить сообщение.