Lasse Collin, der Original Author von XZ, hat sich des Problems bereits angenommen und andere Änderungen zurück genommen, die von dem „Jin Tan“ Angreifer gemacht wurden.

Follow-Up: xz-utils / liblzma backdoored

z.B. wurde die Sandbox wieder aktiviert, die absichtlich sabotiert wurde:

https://git.tukaani.org/?p=xz.git;a=commitdiff;h=f9cf4c05edd14dedfe63833f8ccbe41b55823b00

Das bedeutet für XZ, daß wir bald sehr viel mehr zu dem Ausmaß dieses Angriffsversuches wissen werden.

Im Gegensatz zu Fedora Devs auf der Mailingliste, hat das FOSS Sicherheitssystem versagt, weil die ganze Sache nur durch Zufall, nicht durch  Codereviewing wie es für OpenSource eigentlich gedacht ist, entdeckt wurde. Es gibt also noch viel zu verbessern, z.B. resultiert das ursprüngliche Problem darin, daß liblzma in Systemd verlinkt ist, damit der JournalD die Logfiles komprimieren kann. Zwei andere Kompressionsbibliotheken sind aber auch aus dem gleichen Grund eingebunden. Hier ist also eine einfach Möglichkeit die Angriffsfläche zu reduzieren, was im Umkehrschluss bedeutet, daß das erwählt Kompressionssystem besser überwacht werden wird, weil es das muß.

Wer mal wissen will, wann der Angriff in  die Tat umgesetzt wurde:

https://git.tukaani.org/?p=xz.git;a=commit;h=6e636819e8f070330d835fce46289a3ff72a7b89

Da kann man auch die Emailadresse des Angreifers sehen, vielleicht kennt ja wer wen bei der Google Security.