xz 软件包源代码中发现后门

3月29日，Alpine 收到通知，XZ Utils（我们的 xz 软件包的源项目）中可能存在后门。已知此后门存在于 5.6.0 和 5.6.1 版本的源代码中，这些版本使用了 git 仓库中不存在的修改过的构建脚本。针对 5.6.1 源代码构建的软件包存在于 edge 分支中，但不在任何稳定版本中。

我们目前认为 Alpine 在实际应用中未受影响。该后门的目标是链接了 libsystemd 和 glibc 的 sshd 二进制文件，而 Alpine 的 openssh-server 软件包并非如此。

出于高度谨慎，我们已使用我们自己生成的构建脚本，直接从 git 仓库重建了 xz 软件包，这已证实移除了后门启用代码。因此，我们建议 edge 分支上的用户立即升级到 xz-5.6.1-r2 或更新版本，以确保他们不会受到此后门的影响。

此问题已在 Alpine 的安全跟踪器中被追踪为 CVE-2024-3094。