V kompresním programu XZ byla před dvěma měsíci objevena šikovně skrytá zadní vrátka CVE-2024–3094. Teoreticky by je bylo možné vzdáleně zneužít přes SSH a knihovnu liblzma, která je součástí XZ. Škodlivé byly verze 5.6 a 5.6.1. Ve středu vyšlo XZ 5.6.2 s již odstraněnými zadními vrátky.
Také byla odstraněna podpora IFUNC (GNU Indirect Function), právě ta byla zneužita k zadním vrátkům. Navíc má jen malý vliv na rychlost. Zároveň vyšly i verze 5.4.7 (old stable) a 5.2.13 (old old stable), v nich však zadní vrátka nebyla.
(Zdroj: phoronix)
