xzのバックドア問題がかなり話題になっていますが、どうやらxz --versionを実行するのもよろしくないようなので、今回はmacOSのHomebrewとUbuntuのAPTとFedoraのDNFという私が使っているOSでxzのバージョンを確認する方法をご紹介します。他のディストリビューションやパッケージマネージャーは使ってないので、ご容赦ください。。。
xz --verison
どうやらいろいろ確認してますと、xz --verisonすらも叩かない方がいいとのことで。
今回はこれを回避する方法をご紹介します。問題については以下のエントリを御覧ください。
「xz v5.6.1」「xz v5.6.0」にバックドア 〜 重大の脆弱性としてLinuxやMacなどに影響 - Nishiki-Hub
Homebrew
Homebrewでバージョン確認するのに手っ取り早いのは、brew list --version | grep 'xz'を実行するか、brew info xzを実行することです。これが正しいかはわかりませんが、簡単に出来ます。
brew info xzの場合、上の画像の赤い四角の部分にファイル名がでてきますので、そこからバージョンがわかります。インストールされてない(環境はないと思いますが)場合は、この場所にNot installedとでてきます。
Homebrewでは、5.6.1がインストール可能な状態でしたが、すでに5.4.6へのロールバックが行われており、brew upgrade xzで5.4.6に戻すことが出来ます。
ちなみに、Homebrewの場合、brew list --versionでパッケージとバージョンの一覧を表示できますよ。
Ubuntu
Ubuntuの場合、dpkgコマンドを用いてdpkg -s xz-utils | grep Versionあるいはapt list | grep 'xz-utils'を実行することで確認可能です(おすすめは前者)。
Ubuntuではテスト版でない限り該当のバージョンのxz-utilsの影響がないと見られています。私の環境では、xz-utils 5.2.5がインストールされていました。
Fedora
Fedoraの場合、rpmコマンドを用います。rpm -q xzを実行することで確認可能です。一応、他のアプローチとしてdnf list xz.x86_64'もあるっちゃあるけど、他のパッケージも引っかかるのでやめたほうがいいです。
Fedoraでは「Fedora 40」と「Fedora Rawhide」にて影響が確認されています。Fedora 40については、現在テスト中のバージョンです。
関連リンク
特になし。
