이미 소식 들으신 분들도 있으시겠지만, 압축 유틸 및 라이브러리인 xz, 와 liblzma 에서 보안 취약점이 발견 되었다는 소식이 있습니다. 관련하여 xz-utils 패키지의 소스 패키지가 영향을 받고, 현재 곧 출시 예정인 우분투 24.04 에서 해당 버전(5.6.0)이 배포 되었다가, 삭제가 완료 되었다고 합니다.
자세한 소식은 아래 링크를 참고 하시면 되겠습니다.
조금 더 자세히 알아본 바로는, xz 5.6.0 버전부터 해당 취약점 영향이 있다고 합니다. 우분투의 경우는 현재 배포중인 패키지 중 영향 받는 버전은 없는 것으로 보입니다. (가장 최신이 24.04 에 배포중인 5.4.5 버전이네요)
해당 버전은 앞서 언급한 24.04 에 배포가 되었다가, 삭제 되었고. 5.6.0을 5.4.5로 되돌리는 버전의 패키지가 현재 proposed 상태 입니다(아직 배포되지 않은 상태). 우분투 24.04 출시전 테스트 목적으로 이미 사용 중이시거나, 사용 예정 이시라면 사용을 중단 하시거나 미루시는것을 권해 드립니다.
- Debian Security Tracker CVE-2024-3094
- Ubuntu Packages (xz-utils) Ubuntu – Package Search Results -- xz-utils
- xz-utils 5.6.1+really5.4.5-1 source package in Ubuntu 5.6.1+really5.4.5-1 : xz-utils package : Ubuntu