XZ è una libreria per Linux, ma anche per Windows, completamente gratuita e a riga di comando e dedicata alla compressione senza perdita di dati. Di recente, nello specifico due mesi fa, era stato emesso un avviso di sicurezza a riguardo, avvertendo della presenza di codice dannoso all’interno della libreria. Questo si trattava nello specifico di una pericolosa backdoor che naturalmente mette molto a rischio i sistemi informatici in cui questa libreria è installata.
XZ 5.6.2 elimina una backdoor molto pericolosa dal suo codice
XZ è una libreria diffusa grazie all’elevato tasso di compressione che riesce a raggiungere rispetto alternative come gzip e bzip2, funzionando al tempo stesso in maniera molto simile. La backdoor, scoperta 2 mesi fa, sembra sia stata inserita da un malintenzionato che è riuscito a infiltrarsi nel canale di co-manutenzione del codice. Una volta scoperto il problema, uno degli sviluppatori che lavora al progetto da tanto tempo ha quindi ripreso il controllo della situazione, controllando le precedenti modifiche, per rilasciare così la 5.6.2 che rimuove completamente il codice malevolo all’interno.
La backdoor eliminata corrispondeva all’avviso di sicurezza CVE-2024-3094, presente invece nelle precedenti versioni 5.6 e v5.6.1. Tuttavia, la situazione è attualmente ancora sotto indagine da parte degli sviluppatori e, chi vuole, può anche visionare liberamente gli aggiornamenti tramite una pagina dedicata, dove vengono condivise le informazioni più recenti.
XZ 5.6.2 include tuttavia anche diverse correzioni per quanto riguarda alcuni bug, come il compilatore Nvidia HPC SDK, oltre all’eliminazione del supporto GNU Indirect Function (IFUNC), il cui codice è anche stato utilizzato dalla backdoor. Il supporto viene tuttavia eliminato anche per i pochi vantaggi in termini prestazionali, oltre ad aggiungere molta più complessità al codice. Le librerie si sono anche ulteriormente aggiornate alle versioni 5.4.7 e 5.2.13 dove sono stati sistemati ulteriori problemi.
È possibile scaricare le nuove versioni direttamente dalla pagina dedicata su GitHub.