🔴 Alert. Ktoś zbackdoorował narzędzie xz (służy do kompresji/dekompresji; narzędzie jest bardzo popularne w świecie Linuksa). CVE-2024-3094

Backdoor pojawił się w wersjach 5.6.0 and 5.6.1 (xz-utils) i występuje w oficjalnych archiwach .tgz narzędzia (nie ma go w kodzie w repozytorium GitHub). Obecnie wersja 5.6.1 jest najnowsza, a 5.6.0 została wypuszczona nieco ponad miesiąc temu.

Trwa cały czas analiza backdoora, a w tym raporcie jest mowa o tym, że prawdopodobnie umożliwia on przejęcie dostępu do serwera z wykorzystaniem ssh

Problem (prawdopodobnie, trwa analiza) dotyczy dystrybucji (i pochodnych) Debian i Red Hat, backdoor nie wszedł do wersji stabilnych (np. w przypadku Debiana dotyczy unstable i testing).

Dodatkowe źródła:

• artykuł w Ars Technica [EN]
• dyskusja na Hacker News
• dyskusja na fedi
• dość porządny opis przedstawiający okoliczności i przebieg zdarzeń, wciąż aktualizowany
• blog lcamtuf-a (Michała Zalewskiego)

EDIT: Dodanie info o dotkniętych distrach i dodatkowych źródeł.