У xz/liblzma виявлено шкідливий код, спрямований на отримання несанкціонованого віддаленого доступу по SSH (бекдор) та виконання команд (CVE-2024-3094). Зловред був впроваджений у версії 5.6.0 і 5.6.1 і, як передає OpenNet, встиг потрапити в збірки та репозиторії Gentoo, Arch Linux, Debian sid/unstable, Fedora Rawhide/40-beta, OpenSUSE factory/tumbleweed, LibreELEC, SYS2, Alpine mingw, HP-UX, Homebrew, KaOS, NixOS unstable, OpenIndiana, Parabola, PCLinuxOS, OpenMandriva cooker та rolling, pkgsrc current, Slackware current, Manjaro, Void Linux. Втім, далеко не скрізь бекдор може бути активовано. Ситуацію посилює та обставина, що розробник, який опинився під підозрою, останніми роками брав участь і у суміжних проектах спільноти. Тому немає підстав для довіри вихідному коду xz до з'ясування всіх деталей та наслідків того, що сталося. Зокрема, відповідний репозиторій на GitHub вже заблоковано з повідомленням: «Доступ до цього репозиторію заблокували співробітники GitHub через порушення умов надання послуг GitHub».
Джерело: 3dnews.ru
