Det er heldigvis meget sjældent Linux brugere bliver ramt af vira, men nu er der opdaget en bagdørstrojan i pakken xz
xz bruges bla. i tar komprimering
Her er et link til archlinux om det
Jeg checkede min Linux Arch med kommandoen pacman -Ss xz
Og som du kan se, kører jeg på version 5.6.1-2 , hvilket er EFTER den lede bagdør 🙂 – så alt er ok på min Linux Arch 🙂
Så vidt jeg kan se her, er Linux Mint ikke berørt ( muligvis i edge-versionen ? – det står der ikke noget om)
Her er en video om det
opdateret:
jeg fandt disse 2 videoer om det. der giver lidt mere info
Den første checker sin xy på en – efter min mening – farlig måde:
Denne måde kalder jo det mulige inficerede “program” for at få versionsnumret og kan derved få den farlige bagdør
Jeg mener at min metode er mere sikker
Fordi xz IKKE bliver aktiveret, men i stedet for beder man pacman om at vise versionnumret, som jeg går ud fra er lagret ved installationen … men jeg er ikke 100 % sikker
Men resten af hans video er meget informativ 🙂
Du kan læse her hvad for nogen Linux distributions (distributioner?) er berørte:
https://orca.security/resources/blog/critical-xz-utils-supply-chain-compromise-affects-multiple-linux-distributions-cve-2024-3094/
Men listen af dem som ikke er påvirket er disse:
– Red Hat Enterprise Linux (RHEL)
– All Debian stable releases
– Amazon Linux – Amazon har en Linux?
– Ubuntu – min Xubuntu bruger version 5.2.5
Puha! Der blev jeg nervøs, bruger Ubuntu så pt er jeg gået fri.
Er det globalisterne der angriber, de kan jo ikke fordrage, at der er nogen de ikke kan snage i!
Det handler kun om Fedora / openSUSE, ikke Arch / Debian varianter.
Hej David
arch ER berørt , hvis du ikke har opdateret for nylig
det står her
https://archlinux.org/news/the-xz-package-has-been-backdoored/
mvh TrumfEs
OK. Tak for rettelsen! Det var ellers meget konkret, tror det var på slashdot jeg læste det. openSUSE anbefaler ligefrem at man geninstallerer fra scratch!
Jeg kender ikke så meget til Arch. Jeg ved at Debian plejer at være meget langsom at bringe nye releases på banen – Ubuntu også. Er Arch mere aggressiv at release ny software?
Hej Jdm
Arch er en “rolling” Linux release . Det betyder at der IKKE kommer nye “versioner” af Arch og andre roling releases, men at de hele tiden opdateres med de aller nyeste versioner af software.
En gang imellem kommer der en fejl ved det, men Arch er for folk, der selv kan rette/tage sig af det.
Ubuntu. Debian(ikke sid) og Linux Mint ( ikke edge) er versionsstyret.
Typisk kommer alle sikkerhedopdateringer næsten med det samme, mens opdateringer til software først kommer med næste release af operationssystemet, efter at de er aftestet
SÅ enten kan du vælge at få det nyeste med det samme – med den risiko der er ved det – eller at leve med (lidt) ældre software ved versionssstyrede OS , indtil der kommer en ny release
Du kan ikke få begge dele på een gang 🙂
mvh TrumfEs