Linux系统基础设施、压缩工具xz 5.6.0、5.6.1两个版本近日确认被不明开发者安插后门。该后门精心设计,通过特殊的xz压缩包即可触发,进而导致攻击者跳过sshd验证和pam直接控制系统。该问题已确认影响大部分deb系和rpm系Linux发行版,包括Debian, Ubuntu, Fedora, openSUSE等。
其他发行版,如Arch,虽然提到其系统构建方式不会导致该后门发作,但仍然建议更新相关软件包。受影响的deb和rpm发行版可通过降级软件包的方式修复该问题,详细可参考对应发行版公告。
公社提醒各位Linux用户,务必确认您现在运行系统中使用的xz版本。这是历年来Linux系统组件遭遇的一次重大篡改,也引起出开源项目代码审核、人员准入方面的思考。
引入后门的开发者”Jia Tan”身份目前尚未确定,开发者名称与国族并不存在必然联系。