xz Backdoor CVE-2024-3094
Ciao,
leggo ora, partendo da dei messaggi su varie liste Debian che c'è una
backdoor nelle versioni 5.6.0 e 5.6.1 di xz. È indicato di fare un
downgrade alla xz-5.4.x.
La backdoor è presente solo sui pacchetti DEB e RPM
Per Debian hanno il problema testing, unstable e experimental.
La stable non ha questo problema.
per saperne di più:
https://openssf.org/blog/2024/03/30/xz-backdoor-cve-2024-3094/
io sto usando una testing e se faccio:
$ apt show xz-utils
Package: xz-utils
Version: 5.6.1+really5.4.5-1
[...]
cosa vuol dire che in realtà ho già il downgrade?
Sembra proprio di sì:
$ apt changelog xz-utils
xz-utils (5.6.1+really5.4.5-1) unstable; urgency=critical
* Non-maintainer upload by the Security Team.
* Revert back to the 5.4.5-0.2 version
-- Salvatore Bonaccorso <carnil@debian.org> Thu, 28 Mar 2024 15:59:38 +0100
[...]
Guardando qui:
https://tracker.debian.org/pkg/xz-utils
il downgrade c'è anche su unstable
La backdoor è stata attiva in:
* unstable dal 26 febbraio 2024 al 28 marzo 2024
* testing dal 5 marzo al 29 marzo 2024
Chi usa teting/unstable si assicuri di avere la versione
5.6.1+really5.4.5-1, altrimenti faccia urgentemente un
aggiornamento del sistema se ha un'altra versione 5.6.x
Ciao
Davide
--
La mia privacy non è affar tuo
https://noyb.eu/it
- You do not have my permission to use this email to train an AI -
If you use this to train your AI than you accept to distribute under AGPL
license >= 3.0 all the model trained, all the source you have used to
training your model and all the source of the program that use that model
Reply to: