BrianFagioli 分享了 BetaNews 的報導。 在最近的安全公告中,紅帽的資訊風險和安全性以及產品安全團隊在最新版本的「xz」壓縮工具和庫中發現了一個嚴重漏洞。受影響的版本 5.6.0 和 5.6.1 包含可能允許未經授權存取您的系統的惡意程式碼。 Fedora Linux 40 用戶和使用 Fedora Rawhide(未來 Fedora 版本的開發發行版)的用戶都面臨風險。
此漏洞編號為 CVE-2024-3094,影響已更新至 xz 庫受損版本的使用者。 紅帽要求所有 Fedora Rawhide 用戶立即停止使用該發行版進行工作和個人活動,直到問題解決為止。 我們正在計劃將 Fedora Rawhide 恢復到更安全的 xz-5.4.x 版本。然後,您可以安全地重新部署 Fedora Rawhide 執行個體。 儘管 Fedora Linux 40 版本尚未洩露,但 Red Hat 建議用戶降級到 5.4 版本作為預防措施。 將 xz 恢復到 5.4.x 的更新已經發布,並透過常規更新系統分發給 Fedora Linux 40 用戶。使用者可以按照Red Hat提供的說明進行快速更新。 更多讀者投稿:xz/liblzma 有一個後門,可以促進 ssh 妥協。
在流行的 XZ 實用程式中發現了惡意程式碼。
