Бэкдор пакета xz

# 30.03.2024 05:36

Пожалуйста, ознакомьтесь с объявлением на главной странице Arch и примите соответствующие меры. https://archlinux.org/news/the-xz-packa ... ackdoored/

https://bbs.archlinux.org/viewtopic.php?id=294363

# 30.03.2024 09:44

vall:https://bbs.archlinux.org/viewtopic.php?id=294363

Появилось интересное сообщение. Текст ниже.

Некоторые обновления:

Github отключил репозиторий xz, а учетная запись Цзя Тана была заблокирована:

[1] https://github.com/tukaani-project/xz
[2] https://github.com/JiaT75

Ключ Цзя Тана был удален как надежный ключ из Arch:

[3] https://gitlab.archlinux.org/archlinux/ ... da2cb6c1ac

xz PKGBUILD нуждается в повторном обновлении, потому что он больше не будет работать, поскольку будет отправлен в мертвый репозиторий Github. Предпочтительно заменить на более старую версию до прихода Цзя Тана; что-нибудь из серии 5.4.x ... что касается того, как вы получаете к ней доступ? Не уверен, к какому зеркалу.

Серия вредоносных исправлений, отправленных в ядро, была отменена:

[4] https://lkml.org/lkml/2024/3/29/1475

Пока кажется, что openSUSE, Kali Linux и Arch Linux являются единственными дистрибутивами, которые поставляли пакет xz с известным бэкдором в течение сколько-нибудь значительного периода времени. Он был доступен в Arch с 28 февраля по 28 марта.

leonardo · # 30.03.2024 11:21

Кроме обновления системы требуется принять какие-то дополнительные меры — сканирование антивирусной утилитой или что-либо подобное?

# 30.03.2024 11:49

vall:https://archlinux.org/news/the-xz-packa ... ackdoored/

По этой ссылке более подробные рекомендации.

Если то, что изложено в материале Вас не касается, значит в моменте достаточно обновиться. Возможно тема получит продолжение. И в этом случае скорее всего последуют новые официальные заявления разработчиков дистрибутива.

leonardo · # 30.03.2024 12:28

Спасибо.