大抵のLinuxディストリビューションに含まれているXZ Utilsにバックドアが仕込まれていたというニュースを小耳に挟みました。
XZ UtilsはLZMAやxz形式の圧縮ファイルを扱うためのライブラリーで、上述の通り大抵のLinuxディストリビューションに含まれています。
バックドアが仕込まれてから発覚するまでが1ヶ月程度だったというのもあって、影響を受けたディストリビューションはあまり多くないようです。あまりいないとは思いますが、ここ1ヶ月ほどの間にソースコードからXZ Utilsをビルドしている方は影響を受けている可能性が高いのでダウングレードしたほうがよさそうです。
さて、我らがGentoo Linuxへの影響はというと・・・Changelogを見る限りこんな時系列でしょうか(日付はUTC)
- 2024-02-24: 問題のある5.6.0が追加された(ただし、すべてのアーキテクチャで明示的にキーワードを指定しない限りインストールされない)
- 2024-02-28: 5.6.0の別ビルドバージョン(5.6.0-r1)が追加された
- 2024-03-04: 5.6.0が削除された(バックドアに気づいて削除したのではなく、より新しいバージョンが追加されたので古いものを削除。Gentooでは頻繁に行われる)
- 2024-03-09: 5.6.1が追加された(5.6.0追加時と同様、すべてのアーキテクチャで明示的にキーワードを指定しない限りインストールされない)
- 2024-03-15: 5.6.0-r1が削除された(これもバックドアに気づいて削除したわけではない)
- 2024-03-24: 5.6.1が安定化された(xz-utilsがインストールされた状態でパッケージの更新を行うと、バックドアが仕込まれたものに更新されてしまう)
- 2024-03-30: 5.6.1が削除された(バックドアに気づいた)
というわけで、3月24日〜30日の間にパッケージを更新した人がバックドアのあるものを掴んだ可能性が高いです。一刻も早いうどんワールドをおねがいします。
こちらにも諸々やり取りがあります。
0 件のコメント:
コメントを投稿