影响范围
●影响包名：xz, xz-utils
●版本：v5.6.0 v.5.6.1
●恶意代码被植入在压缩包文件中。目前看来，Redhat Debian的发行稳定版，均不受影响。只有测试版受影响。对这些版本而言，只有单独下载了受影响的压缩包，手动编译安装，才会被植入后门。

• Red Hat Enterprise Linux (RHEL) 不受影响

• Debian stable versions 不受影响

• Suse Stable 不受影响

• Freebsd 不受影响

• AWS Linux不受影响

• Kali Linux 3月26日（包括）之后的版本受影响

• Fedora 41 and Fedora Rawhide受影响

• Debian unstable (Sid)受影响

• Debian testing, unstable experimental发行版, 版本从5.5.1alpha-0.1(uploaded on 2024-02-01), 到5.6.1-1（包含），均受影响

排查方式

 - 先看软件版本是否符合。如何不符合，安全。 - 然后看在不在官方的受影响操作系统版本里面。如果符合（说明直接预置了受影响的版本），挂了 - 如果不符合，跑下面那段检测小脚本，继续看下。

#! /bin/bash
set -eu

# find path to liblzma used by sshdpath="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"

# does it even exist?if [ "$path" == "" ]thenecho probably not vulnerableexitfi

# check for function signatureif hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410thenecho probably vulnerableelseecho probably not vulnerablefi

处置建议
cisa建议downgrade到不受影响的版本。例如 XZ Utils 5.4.6 Stable

常见问题

Q：是不是只要看下自己的Linux系统在不在官方的通告里面就行了？
A：不是，谁知道你有没有手动装Q：我是mac，版本符合，受不受影响？
A：从目前掌握的原始信息来看，不受影响Q：是不是这个供应链确定只影响这两个库？A：不确定，因为我也不知道有没有傻逼代码库抄他们的代码，或引入他们的代码，或者在安装的时候依赖他们，从而触发那个后门植入条件
Q：你说了这么多，你觉得应该怎么查？
A：参照上面章节。     这个事情还在持续发酵中，建议持续跟进外面的官方权威信息。