XZ形式の圧縮ファイル生成/解凍の xz-utils にバックドアが仕掛けられるというトラブルが報告されている。オープンソースで開発されているソフトで、誰かがソースコード中に悪意のあるコードを仕込んだらしい。このため、ソースでビルドされたパッケージにも影響する。xz-utils の 5.6.0, 5.6.1 が該当し、Debian でも testing / trixie などでインストールされる。

xz-utilsの確認とダウングレード Debian/trixie

確認すると、しっかりインストールされていた。

$ dpkg -l | grep xz-utils
ii  xz-utils  5.6.1+really5.4.5-1  amd64
      XZ-format compression utilities

さすがに怖いので、安全なバージョンが出るまでダウングレードだな。

$ sudo apt install xz-utils/stable
$ sudo aptitude hold xz-utils

Ubuntu 2.2 LTSは大丈夫

 dpkg -l | grep xz-utils
ii  xz-utils  5.2.5-2ubuntu1  amd64
      XZ-format compression utilities
$ cat /etc/os-release
PRETTY_NAME="Ubuntu 22.04.4 LTS"
:

具体的な情報を探すと 「vulnerableなxzがインストールされている状態で　xz –version　を実行するとバックドアが開いてしまうので実行するなという話だそう。」という情報があるし、インストールされているとはいえ自分自身で活用していないので “xz –version” は実行していない。というか、この記事を遡ると Debian の 5.6.1+really5.4.5-1 は、5.4.5 に戻されていて大丈夫みたいだな。ということで改めて、apt install xz-utils で、5.6.1+really5.4.5-1 が入った。5.6.1 の様に見えるけど、実は 5.4.5 。