關於 xz 後門程式
·2 分鐘閱讀
在 2024 年 3 月 29 日 18:07 UTC,核心團隊得知最近揭露的 xz 後門程式,現在標記為 CVE-2024-3094。
就我們所知,conda-forge 的 xz 工件未受影響。
我們的回應
我們立即檢查了哪些 xz 工件已發佈在我們的頻道中
- 我們最新的
xz建置(配方來源可在xz-feedstock中取得)是針對版本5.2.9,並於 2022-12-08 上傳。請參閱 anaconda.org 中的工件。 - 有後門程式的版本
xz屬於5.6.x系列。
我們正在監控情勢發展,並將在需要時相應地更新此公告。
結語
我們,conda-forge 核心開發團隊,要感謝大家在我們回應上述各種安全事件和錯誤時的耐心和支持。不言而喻,conda-forge 基礎架構的公共性質帶有風險。另一方面,由於是公開的,任何人都可以查看和驗證我們的工件建置。conda-forge 的安全性在於降低風險,我們將繼續盡力做到最好。
提醒您,我們不建議您在包含敏感資訊的環境中使用 conda-forge。conda-forge 的軟體由我們的使用者建置,核心開發團隊無法驗證或保證此軟體不是惡意的或未被篡改。
我們對 conda-forge 中安全事件的最佳防禦就是您!我們的 feedstock 維護者最有可能注意到事件和問題。請負責任地將您發現的任何問題報告給我們,透過 [email protected] 或使用我們的安全政策中描述的流程。