近日，开源软件 liblzma/xz 5.6.0 及 5.6.1 版本存在安全漏洞的消息被披露后，deepin 已对所有产品完成了排查，确认 deepin（深度）操作系统各版本均不受其影响，请各位用户放心使用。

• 漏洞描述：xz 5.6.0 与 5.6.1 版本的上游代码中发现了后门程序，它通过加入测试用的二进制数据，然后再在编译脚本中从上述数据里提取内容修改编译结果。就目前初步研究显示，生成的代码会挂钩 OpenSSH 的 RSA 加密相关函数，使得攻击者可以通过特定方式绕过 RSA 签名验证过程，其它可能的影响仍在持续研究中。作为一款流行的压缩软件，liblzma/xz 被各 Linux 发行版广泛使用，因此此安全漏洞的影响面较广。
• 漏洞危害等级：高危。
• 漏洞影响范围：5.6.0<=xz-utils<=5.6.1。

deepin（深度）操作系统受影响情况分析

• deepin V23 上 xz-utils 的版本为 5.4.5，不在漏洞影响范围内，不受该漏洞影响。
• deepin V20.9 上 xz-utils 的版本为 5.2.4，不在漏洞影响范围内，不受该漏洞影响。
• deepin（深度）操作系统其它版本均已被验证不受该漏洞影响，请用户放心使用。

deepin 致力于为全球用户提供美观易用、安全可靠的 Linux 发行版，在不断提升用户体验的同时，一直将操作系统安全放在首位。deepin 将持续提升安全能力，夯实操作系统底层和应用安全基础！

内容来源：deepin（深度）社区

转载请注明出处

转自 不必担心！deepin（深度）操作系统各版本均不受liblzma/xz影响 – 深度科技社区