この辺の話で話題になっていたので、ざっくり調べてのまとめをメモ。
あくまで2024-04-01時点の話なので、追ってまた状況が変わる可能性はある。
CVEリンク
以下はあくまで個人の解釈です。
執筆時点の状況
xz ver 5.6.0, 5.6.1が対象- fedoraの開発versionと上記の組み合わせはまずそう(by上記リンク先の記事)
- 他OSの組み合わせは該当するのかどうかはまだ分からない.
対応方法とか
- 該当versionのxzが入っているのであれば応急処置としてversionをdowngradeした方が良さそう
- homebrewでもremote repository側のversionをdowngradeしてくれている(discussion)
- なのでmacOSでは
brew info xzで該当version入ってたらbrew updateでversionをdowngradeできそう xz --versionでもxz自体が起動しちゃうので、version確認は各種パッケージマネージャ経由でやった方が良さそう