Linux 圈“地震”：主流压缩工具 XZ 被曝后门，红帽、Debian 等发公告要求紧急停用

图片地址：https://img.ithome.com/newsuploadfiles/2024/3/ee9ebb1c-9ce1-408d-a082-0c7053429f27.png?x-bce-process=image/watermark,image_aW1nL3dhdGVybWFyay9xdy9xdzEzNS5wbmc=,t_100,g_8,y_14,x_10,a_0/format,f_auto

IT之家 3 月 30 日消息，Red Hat 公司本周五发布安全公告，在最新的 XZ Utils 数据压缩工具和库中发现了一个后门，敦促用户立即停止使用 Fedora 开发和实验版本。Red Hat 警告表示：请立即停止在工作或者个人活动中使用任意 Fedora 41 或者 Fedora RAWHIDE 实例。目前排查结果显示 Red Hat Enterprise Linux（RHEL）没有任何版本受到影响。我们已经在适用于 Debian unstable（Sid）发行版的 XZ 5.6.x版本中找到相关证据，证明存在后门，可以注入相关代码。Debian 安全团队今天也发布公告，表示当前没有发现有稳定版 Debian 使用问题 XZ 软件包，在受影响的 Debian 测试版、不稳定版和实验版中，XZ 已被还原为上游的 5.4.5 代码。微软软件工程师安德烈斯・弗罗因德（Andres Freund）在一台 Linux 盒子上调查