Úmyslná infiltrace backdoorovaných upstreamových tarballů XZ do repozitáře Debianu Sid, která před několika dny umožnila vzdálený přístup přes SSH bez ověření, vyvolala v linuxové komunitě bouřlivou debatu a v distribucích pak hloubkovou analýzu škod.
Projekt Debian oznámil odklad vydání své nadcházející verze 12.6, které bylo původně plánováno na 6. dubna. Vývojářský tým provádí důkladné šetření situace zahrnující posouzení možného dopadu na archiv Debianu obsahující softwarové balíčky. V tuto chvíli není známo, že by se problém týkal stabilních verzí Debianu,
píše Salvatore Bonaccorso v oznámení odkladu.
Kompromitované balíčky byly součástí Debianu testing, unstable a experimental. Jedná se o verze od 5.5.1alpha-0.1 (nahraná 1. února 2024) až po verzi 5.6.1–1. Balíček byl vrácen k do upstreamového kódu z verze 5.4.5 a jmenuje se 5.6.1+really5.4.5–1. Situaci lze sledovat na stránce v Security Trackeru.
