2ヶ月前にソースコードにバックドアが埋め込まれていることが発見された「XZ Utils」の最新版、XZ Utils 5.6.2(Stable)、5.4.7(old stable), 5.2.13(old old stable)がリリースされました。
長年のXZ開発者であるLasse Collin氏が再び指揮をとり、過去のコミットを監査し、バックドアを削除するための作業が行われています。なおv5.6.2では、以前のv5.6およびv5.6.1に存在したCVE-2024-3094バックドアは削除されていますが、バックドアの状況は引き続き調査されており、詳細は「XZ Utils backdoor」ページで確認可能です。
XZ Utils 5.6.2ではバックドアの削除のほか、細かなバグの修正や、最新のNVIDIA HPC SDK(コンパイラ)でのビルドの修正、GNU indirect functio(IFUNC)のサポートの削除も行われています。IFUNCサポートは、XZバックドアで使用されていましたが、コードを使用することによるパフォーマンス上の利点が小さすぎる一方で、多くの複雑さが追加されたためのコードが削除されることになったそうです。
また、過去の安定版の最新リリースXZ 5.4.7とXZ 5.2.13も公開されていますが、バックドアの影響を受けたのはXZ 5.6シリーズのみとなっています。
最新版のソースコードはGitHubからダウンロードすることができます。
