2024年3月29日 · As many of you may have already read (one), the upstream release tarballs for xz in version 5.6.0 and 5.6.1 contain malicious code which adds a backdoor. This vulnerability is tracked in the Arch Linux security tracker (two). The xz packages prior to version 5.6.1-2 (specifically 5.6.0-1 and 5.6.1-1) contain this backdoor.

xz is a general-purpose data compression tool with command line syntax similar to gzip(1) and bzip2(1). The native file format is the .xz format, but the legacy .lzma format used by LZMA Utils and raw compressed streams with no

2024年4月5日 · Arch Linux 的开发人员迅速修复了这个问题，并发布了 XZ 5.6.1-2 版本，这个版本也包含在新的 ISO 镜像 Arch Linux 2024.03.29 中。 更多关于此的详细信息请点击 这里。 除了修补的 XZ 包之外，Arch Linux 2024.03.29 ISO 镜像还是首个采用最新的 Linux 6.8 内核系列的版本，当然，如果你想在一些更新的硬件上部署 Arch Linux 的话，这会带来更好的硬件支持。 该 ISO 默认包含 Linux 6.8.2 内核。

2025年1月26日 · Architecture: x86_64: Repository: Core: Description: Library and command line tools for XZ and LZMA compressed files: Upstream URL: https://tukaani.org/xz/

APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。 简单来说就是不怕贼上门就怕贼惦记. 而我们这次的主角儿,JiaT75 (Jia Tan),完美诠释了这一持久惦记的理念,充分展示了一个蓄谋已久,放长线钓大鱼的攻击理念,而且几乎就差那么一点点,就能撬开保险库的大门,并在金库里为所欲为. 在此之前,我们先来简简单单了解一下xz包,你可以将它理解成一个压缩程序包,如果 …

Tip: Both GNU and BSD tar automatically do decompression delegation for bzip2, compress, gzip, lzip, lzma, lzop, zstd, and xz compressed archives. Only BSD tar supports lz4 natively (but GNU tar can do an equivalent with --use-compress-program=lz4 / -Ilz4 ).

Arch Linux Security Tracker 记录了该漏洞 。 xz 软件包旧于 5.6.1-2 的版本（即 5.6.0-1 和 5.6.1-1 ）包含该后门。 以下发布内容（release artifacts）也包含了受影响的 xz 版本：

2024年3月29日 · So far, it seems like openSUSE, Kali Linux, and Arch Linux are the only distributions to have shipped the known-backdoored xz package for any significant length of time. It was available in Arch between February 28 and March 28. Edit: Here's the best timeline for the xz backdoor: https://boehs.org/node/everything-i-kno … z-backdoor

2024年3月29日 · Generally, the backdoor is introduced to an application that is linked to liblzma, the library that provides the xz functionality, which is part of the xz utils package. This way the malicious code is run through an application.

2024年3月31日 · xz是一款广泛使用的开源压缩工具，最近发现其5.6和5.6.1版本有后门，会导致恶意ssh访问。据说只对AMD64平台有影响，大家可以看下自己的xz版本是不是中招了。还好，不是5.4就是5.2 ，暂时没问题。