研究人員發現XZ Utils資料壓縮程式庫已遭受供應鏈攻擊(Supply Chain Attack)(CVE-2024-3094)，該程式之特定版本已被植入後門程式，並有部分Linux發行版本安裝受影響之XZ Utils版本，請儘速確認並依官方建議採取對應措施。

影響平台:

受影響版本如下：

XZ Utils 5.6.0與5.6.1

受影響之Linux作業系統如下：

Alpine

Debian (testing、unstable及experimental)

Fedora 41、Fedora Rawhide及Fedora Linux 40 beta

Kali Linux

openSUSE Tumbleweed與openSUSE MicroOS

建議措施:

一、確認版本後，請配合官方說明確認是否需要更新或是降低XZ Utils版本：

Alpine：

https://security.alpinelinux.org/vuln/CVE-2024-3094

Debian：

https://security-tracker.debian.org/tracker/CVE-2024-3094

Fedora：

https://fedoramagazine.org/cve-2024-3094-security-alert-f40-rawhide/

Kali Linux：

https://www.kali.org/blog/about-the-xz-backdoor/

openSUSE：

https://www.suse.com/security/cve/CVE-2024-3094.html

https://news.opensuse.org/2024/03/29/xz-backdoor/