Sprawa jest rozwojowa, a jeśli ktoś chce przejść od razu do oryginalnego zgłoszenia problemu – zapraszam tutaj. Backdoor pojawił się w wersjach 5.6.0 and 5.6.1 (xz-utils) i występuje w oficjalnych archiwach .tgz narzędzia (nie ma go w kodzie w repozytorium GitHub). Obecnie wersja 5.6.1 jest najnowsza, a 5.6.0 została wypuszczona nieco ponad miesiąc temu
Ciekawa sprawa. Ja bym chciał się dowiedzieć ile osób z tego korzystało, czy ktoś został poszkodowany, jak w ogóle mógł zostać poszkodowany i jak to się stało że nikt nie ogarnął jego commitów skoro repo jest open source. Czy to kwestia tego że zbudował zaufanie i mógł robić co chciał i nikt nawet na to nie patrzył?
Tylne drzwi działają otwierają ssh w dystrybucjach z systemd - dystrybutorzy łatają bowiem OpenSSH by obsługiwał powiadomienia stamtąd, a libsystemd zależy od lzma
Chronologia Technolog kontra szpieg: debata o tylnych drzwiach w xz
Tylne drzwi działają tylko jeśli dystrybucja ma systemd - czyli Gentoo, Alpine, itp. odpadają. Debian stabilny się nie załapał, ale testowy i sid już tak. Oberwała Fedora Rawhide i 41, Arch i Solus
“Debian stabilny” XD