事件描述:微软PostgreSQL开发人员Andres Freund在调查SHH性能问题时,发现XZ Utils软件包中存在着一个涉及混淆恶意代码的供应链攻击事件。
影响范围:目前发现受到影响的库版本有XZ Utils和liblzma的5.6.0-5.6.1版本。受牵连的包含以下软件:
Alpine Edge
Arch
Cygwin
Exherbo
Gentoo
Homebrew
KaOS
MacPorts
Manjaro
Testing
NixOS Unstable/nixpkgs unstable
OpenIndiana
OpenMamba
OpenMandriva Rolling
Parabola
PCLinuxOS
Pisi Linux
pkgsrc current
R**enports
Slackware current
Solus
Termux
Wikidata
解决方案:通过在命令行输入xz --version来查看XZ Utils版本,如果输出为5.6.0或5.6.1,说明系统可能已被植入后门。
若确认受影响,请将XZUtils降级至5.4.6版本,或者更新至最新版本5.6.4。命令如下:sudo apt install xz-utils={要安装的目标版本}