ホーム » コンピュータ » Linux » Debian » xz-utils のバックドア問題

最近の投稿

MuninでSwitchBot CO2センサーのプラグイン
2024-11-19
Muninで、Switchbot の CO2 センサーをモニタリングするためのプラグイン […]
Switchbot 温湿度CO2センサー
2024-11-17
ようやく Switchbot 温湿度CO2センサー届いた。最初の確認以前 […]
Switchbot CO2センサーようやく配送
2024-11-16
10/20に注文した SwitchBot の温湿度 CO2 センサーだけど、かなり待たされた。 […]
Switchbot 温湿度計のファームウェアが更新できない
2024-11-13
Switchbot API を使って温湿度計のデータを取得できるようにはなったけど、バッテリー状態は常に […]
日立洗濯機API
2024-10-29
日立の洗濯機は WiFi で接続できるので、nmap をかけてみたが、反応なし。でも何気なく「日立洗濯機 […]

アーカイブ

カテゴリー

xz-utils のバックドア問題

投稿者: t-saitoh in Debian, Linux, T-Saitoh, コンピュータ投稿日: 2024-04-07

XZ形式の圧縮ファイル生成/解凍の xz-utils にバックドアが仕掛けられるというトラブルが報告されている。オープンソースで開発されているソフトで、誰かがソースコード中に悪意のあるコードを仕込んだらしい。このため、ソースでビルドされたパッケージにも影響する。xz-utils の 5.6.0, 5.6.1 が該当し、Debian でも testing / trixie などでインストールされる。

xz-utilsの確認とダウングレード Debian/trixie

確認すると、しっかりインストールされていた。

$ dpkg -l | grep xz-utils
ii  xz-utils  5.6.1+really5.4.5-1  amd64
      XZ-format compression utilities

さすがに怖いので、安全なバージョンが出るまでダウングレードだな。

$ sudo apt install xz-utils/stable
$ sudo aptitude hold xz-utils

Ubuntu 2.2 LTSは大丈夫

 dpkg -l | grep xz-utils
ii  xz-utils  5.2.5-2ubuntu1  amd64
      XZ-format compression utilities
$ cat /etc/os-release
PRETTY_NAME="Ubuntu 22.04.4 LTS"
:

具体的な情報を探すと 「vulnerableなxzがインストールされている状態で　xz –version　を実行するとバックドアが開いてしまうので実行するなという話だそう。」という情報があるし、インストールされているとはいえ自分自身で活用していないので “xz –version” は実行していない。というか、この記事を遡ると Debian の 5.6.1+really5.4.5-1 は、5.4.5 に戻されていて大丈夫みたいだな。ということで改めて、apt install xz-utils で、5.6.1+really5.4.5-1 が入った。5.6.1 の様に見えるけど、実は 5.4.5 。