Встроенный вредоносный код был обнаружен в XZ Utils версий 5.6.0 и 5.6.1 (CVE-2024–3094). XZ Utils — это набор утилит-архиваторов, который может присутствовать в дистрибутивах Linux. Вредоносный код может обеспечить несанкционированный доступ к затронутым системам. 🤷♂️ Норм так ушли на выходные называется. 😅
CISA рекомендует откатываться на 5.4.6 Stable.
Проверил на своей Ubuntu 23.10, что xz-utils здесь древнючие, версии 5.4.1–0.2. Живём. 🙂 RHEL‑ы тоже не задеты.
Стоит ли такие инциденты заводить как CVE? Наверное всё же да. Потому что "Common Vulnerabilities and Exposures". Может это и не уязвимость, но точно экспозиция.
Интересно сколько подобных бэкдоров остаются незамеченными… 🙄