背景

XZ-Utils是一套开源的无损压缩软件，主要包含xz与liblzma两大组件，被广泛集成于Debian、Ubuntu、CentOS、Fedora Linux、openSUSE等POSIX兼容系统中。
2024年3月29日OSS邮件组发出预警，表示在排查SSH性能问题时，发现针对xz开源项目的供应链投毒事件，存在SSH未授权登录风险。漏洞编号为CVE-2024-3094。

影响范围

XZ-Utils已知受影响版本：5.6.0、5.6.1

用 ArchLinux  新系统版本 的可能需要关注下

有一个 Linux 系统级别的漏洞已公布，该漏洞可让攻击者无需通过 SSH 验证即可登录服务器执行任意代码

Debian/Ubuntu 的检查命令:
apt list --installed 2>&1 | grep xz | grep -E '5.6.0|5.6.1' && echo "Check your system now" || echo "Everything is ok"

* 显示 Everything is ok 即不受影响

如何修复:
降级 xz-utils 即可

macOS 修复:
brew install xz

相关链接:
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
https://www.helpnetsecurity.com/2024/03/29/cve-2024-3094-linux-backdoor/