xz-utils 后门事件

一直没用过 xz ，更喜欢 gz ，有没有什么常见的软件是内部使用 xz 并中招了的？

需要明确哪些知名的具体发型版本、软件、库中招了。。。

真的没法一个个去查，普通人太难了。

@AoEiuV020JP 很多源码是 xz 打包的，主要影响的是 lzma ，7z 的默认算法就是这玩意，很多底层的压缩算法都依赖 lzma

@NewYear 运行一下 xz -V ，看下版本，5.6 的就不行

需要回滚到这个老哥第一次提交代码前，他的代码都不可信任，肉眼 review 很难发现问题的

@AoEiuV020JP
受影响的是属于 xz-utils 项目的 liblzma,后者只要用到 lzma 就有可能中招，只是这次攻击代码只针对 systemd+openssh ，分别用来压缩日志和 ssh 流量。
lzma 作为目前最高压缩率的无损压缩算法，应用范围就广了，只是使用方可能选择自己实现而不是链接 liblzma 罢了

@NewYear 5.6.0/5.6.1 ，不是滚动发行版基本碰不到，太新了。

fbi 或国际刑警会追查这人吗

5.2.2

这种基础软件被植入后门，影响太大了

@Eillott 听说人家潜伏 3 年了。得回到 3 年前？

国内关注这个的很少吧？

@conan257 是啊，奇怪，我看外讨论得挺热闹的，国内没啥动静（个人感觉）

5.6 很新的版本，只有尝鲜的滚动发行版才会中招，使用各大 LTS 的不用担心

我看很多人说这个作者“潜伏”了三年，有没有可能作者之前三年真的在认真维护，最近因为某种原因（比如现实中没钱了）开始做恶，或者更善意的假设一下，只是单纯手抖多打了一个 '.'。 现在有没有人审查他之前提交的代码呀。

xz (XZ Utils) 5.4.1
liblzma 5.4.1

基本都是这个版本

@blessingsi 善意的假设也不可能认为他通过提交声称“无意义”的测试文件，然后通过改编译流程的方式内嵌恶意代码的方法是不小心的
麻烦先看新闻再评论

@blessingsi 要是手抖能分别在这么多个 commit 中完成定向地投毒，我宁可相信猴子也能写出莎翁全集。

看了看我的 arch ，目前使用到 liblzma 的只有 libelf ，版本是 liblzma.so=5-64 ，然而 libelf 被 mesa 引用。
mesa 驱动被投毒，这是全军覆没了吧

@blessingsi #14 感觉不太可能 现在对这个人的个人信息 好像没任何人爆料 (说明这个人一开始就隐藏了个人信息) 如果是单纯的维护 感觉没必要这么做

@blessingsi 也许现在的这个人不是账号的主人，但是拿到了管理权