Пакет `xz`, начиная с версии 5.6.0 до
5.6.1 содержал бэкдор. Влияние этой уязвимости затронуло Kali Linux в период с 26 по 29 марта. Если вы обновили установку Kali 26 марта или позже, крайне важно установить последние обновления.
Если вы хотите быть уверены, что у вас установлена последняя версия пакета и что вы не подвержены этой уязвимости, вы можете сделать следующее, чтобы обновить локальную версию пакета: `sudo apt update && sudo apt install -only-upgrade liblzma5`
#Linux #vulnerability
Бэкдор присутствовал в официальных выпусках xz 5.6.0 и 5.6.1, опубликованных 24 февраля и 9 марта, которые успели попасть в состав некоторых дистрибутивов и репозиториев, например, Gentoo, Arch Linux, Debian sid/unstable, Fedora Rawhide и 40-beta, openSUSE factory и tumbleweed, LibreELEC, Alpine edge, Solus, CRUX, Cygwin, NixOS unstable, OpenIndiana, OpenMandriva rolling, pkgsrc current, Slackware current, Manjaro testing. Всем пользователям выпусков xz 5.6.0 и 5.6.1 рекомендуется срочно откатиться на версию 5.4.6.
Версия liblzma c бэкдором не успела войти в состав стабильных выпусков крупных дистрибутивов, но затронула openSUSE Tumbleweed и Fedora 40-beta. Arch Linux и Gentoo использовали уязвимую версию xz, но не подвержены атаке, так как не применяют к openssh патч для поддержки systemd-notify, приводящий к связыванию sshd к liblzma. Бэкдор затрагивает только системы x86_64 на базе ядра Linux и Си-библиотеки Glibc.
#Linux #vulnerability
Бэкдор присутствовал в официальных выпусках xz 5.6.0 и 5.6.1, опубликованных 24 февраля и 9 марта, которые успели попасть в состав некоторых дистрибутивов и репозиториев, например, Gentoo, Arch Linux, Debian sid/unstable, Fedora Rawhide и 40-beta, openSUSE factory и tumbleweed, LibreELEC, Alpine edge, Solus, CRUX, Cygwin, NixOS unstable, OpenIndiana, OpenMandriva rolling, pkgsrc current, Slackware current, Manjaro testing. Всем пользователям выпусков xz 5.6.0 и 5.6.1 рекомендуется...