漏洞：

liblzma/xz官方库被植入后门

漏洞编号：

CVE-2024-3094

威胁程度：严重

影响范围：

xz 和 liblzma 5.6.0~5.6.1 版本

已知的受影响Linux发行版：

Fedora 41

Fedora Rawhide

Debian（XZ测试版本5.5.1alpha-0.1 至 5.6.1-1）

MACOS HomeBrew x64

漏洞描述：

用于 XZ 格式压缩实用程序 XZ Utils被发现存在恶意代码，植入后门。恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。

检查命令：xz --version

修复建议：

建议将xz降级至5.4.6版本

相关链接：

https://www.openwall.com/lists/oss-security/2024/03/29/4

https://access.redhat.com/security/cve/cve-2024-3094