openSUSE 应对针对 xz 压缩库的供应链攻击

对于风滚草用户，建议立即更新系统至最新版本，并尽可能地将此供应链攻击信息通知其他的风滚草用户。

安全研究员 Andres Freund 向 Debian 报告称 xz/liblzma 库已被植入后门。

该后门是在 xz 的 github 上游项目于 2024 年 2 月发布的 5.6.0 版本中植入的。

我们的滚动分支，openSUSE Tumbleweed 和 openSUSE MicroOS 在 3 月 7 日至 3 月 28 日期间发布的快照搭载了该版本。

缓解措施

openSUSE 维护人员已于 3 月 28 日回滚了 Tumbleweed 上的 xz 版本，并发布了从安全备份构建的新 Tumbleweed 快照（20240328 或更新的快照）。

回退版本为 5.6.1.revertto5.4，可通过 rpm -q liblzma5 查询。

推荐用户应采取的措施

对于将 SSH 在互联网上公开的 openSUSE Tumbleweed 用户，我们建议重新安装，因为不知道后门是否已被利用。由于后门的复杂性，不可能在系统上检测到漏洞。

此外，我们强烈建议对可能从系统中获取的任何凭据进行轮换。否则，只需更新至 openSUSE Tumbleweed 20240328 或更高版本并重新启动系统即可。

hi, 各位，周边购买意向征集已发布
https://forum.suse.org.cn/t/topic/16274

开放构建服务（OBS）临时下线