目前,Fedora ,Arch Linux 和 openSUSE 等多个发行版向用户发出了警告,要求用户立即降级或升级到不存在后门或已经去除后门的 xz-utils 版本。 https://www.openwall.com/lists/oss-security/2024/03/29/4 https://lwn.net/Articles/967180/
@AoEiuV020JP 受影响的是属于 xz-utils 项目的 liblzma,后者只要用到 lzma 就有可能中招,只是这次攻击代码只针对 systemd+openssh ,分别用来压缩日志和 ssh 流量。 lzma 作为目前最高压缩率的无损压缩算法,应用范围就广了,只是使用方可能选择自己实现而不是链接 liblzma 罢了 @NewYear 5.6.0/5.6.1 ,不是滚动发行版基本碰不到,太新了。
