该漏洞发生在压缩软件包xz,红帽已经该漏洞标记为 CVE-2024-3094
Red Hat 警告表示：

目前的调查表明,这些软件包仅存在于 Red Hat 社区生态系统内的 Fedora 41 和 Fedora Rawhide 中,Red Hat Enterprise Linux (RHEL) 的所有版本均不受影响。
我们已经在适用于 Debian unstable（Sid）发行版的 XZ 5.6.x 版本中找到相关证据，证明存在后门，可以注入相关代码。

Debian 安全团队今天也发布公告，表示当前没有发现有稳定版 Debian 使用问题 XZ 软件包，在受影响的 Debian 测试版、不稳定版和实验版中，XZ 已被还原为上游的 5.4.5 代码。

Fedora 41 中最新版本的 xz 5.6.0/5.6.1 工具和库中包含恶意代码，可能允许未经授权的远程系统访问。
这篇文章详细的介绍了整个过程， https://boehs.org/node/everything-i-know-about-the-xz-backdoor

rocky9.3 不受影响
xz -V
xz (XZ Utils) 5.2.5
liblzma 5.2.5

参考：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3094

The post Linux平台主流压缩工具XZ被曝后门,标记为 CVE-2024-3094 first appeared on C1G军火库.