Andres Freund a découvert que les sources amont des tarballs pour xz-utils, les utilitaires de compression au format XZ, étaient compromises et injectaient du code malveillant dans la bibliothèque liblzma5 résultante lors de la compilation. Les versions compromises étaient présentes dans les distributions Debian testing, unstable et experimental, avec des versions allant de 5.5.1alpha-0.1 (téléchargée le 1er février 2024) à 5.6.1-1 incluse.

Actuellement, aucune version stable de Debian n'est connue pour être affectée. Le paquet a été rétrogradé pour utiliser le code amont 5.4.5, qui a été versionné 5.6.1+really5.4.5-1.

Mesures à prendre :

Les utilisateurs exécutant Debian testing et unstable sont vivement invités à mettre à jour les paquets xz-utils. Pour obtenir des informations détaillées sur l'état de sécurité de xz-utils, veuillez consulter la page de suivi de sécurité à l'adresse suivante :

https://security-tracker.debian.org/tracker/xz-utils

Pour plus d'informations sur les avis de sécurité de Debian, l'application de ces mises à jour à votre système et les questions fréquemment posées, veuillez consulter :

https://www.debian.org/security/

La vulnérabilité CVE-2024-3094 dans les paquets xz-utils peut avoir de graves conséquences sur la sécurité de votre système Debian. Il est essentiel de mettre à jour les paquets xz-utils dès que possible pour vous protéger contre cette menace. Restez informé des mises à jour de sécurité et suivez les meilleures pratiques en matière de sécurité pour garantir la protection de votre système Debian.