Ciao, leggo ora, partendo da dei messaggi su varie liste Debian che c'è una backdoor nelle versioni 5.6.0 e 5.6.1 di xz. È indicato di fare un downgrade alla xz-5.4.x. La backdoor è presente solo sui pacchetti DEB e RPM
Per Debian hanno il problema testing, unstable e experimental. La stable non ha questo problema. per saperne di più: https://openssf.org/blog/2024/03/30/xz-backdoor-cve-2024-3094/ io sto usando una testing e se faccio: $ apt show xz-utils Package: xz-utils Version: 5.6.1+really5.4.5-1 [...] cosa vuol dire che in realtà ho già il downgrade? Sembra proprio di sì: $ apt changelog xz-utils xz-utils (5.6.1+really5.4.5-1) unstable; urgency=critical * Non-maintainer upload by the Security Team. * Revert back to the 5.4.5-0.2 version -- Salvatore Bonaccorso <car...@debian.org> Thu, 28 Mar 2024 15:59:38 +0100 [...] Guardando qui: https://tracker.debian.org/pkg/xz-utils il downgrade c'è anche su unstable La backdoor è stata attiva in: * unstable dal 26 febbraio 2024 al 28 marzo 2024 * testing dal 5 marzo al 29 marzo 2024 Chi usa teting/unstable si assicuri di avere la versione 5.6.1+really5.4.5-1, altrimenti faccia urgentemente un aggiornamento del sistema se ha un'altra versione 5.6.x Ciao Davide -- La mia privacy non è affar tuo https://noyb.eu/it - You do not have my permission to use this email to train an AI - If you use this to train your AI than you accept to distribute under AGPL license >= 3.0 all the model trained, all the source you have used to training your model and all the source of the program that use that model
