Инструмент сжатия данных Linux xz-Utils снова доступен на GitHub после обнаружения в нём бэкдора. Разработчик xz-Utils Лассе Коллин объявил на своём сайте, что он внёс несколько изменений, в том числе в политику безопасности.
Он обязался удалить бэкдор в версиях 5.6.0 и 5.6.1 и написать статью о том, как он оказался в релизах и какие уроки из этого можно извлечь.
Пока разработчик изучает детали, но приоритет отдаёт проверке репозитория.Коллин также призывает не раскрывать уязвимости сразу после их обнаружения, а сначала сообщать данные ему.
Читать на habr.com