Abstract

A seguito della scoperta di una backdoor nel pacchetto XZ Utils (CVE-2024-3094), dopo aver seguito la vicenda su vari blog e video di Youtube mi sono accorto di come in molti commenti sia stato suggerito di utilizzare direttamente il comando xz --version anzichè utilizzare direttamente il package manager della distribuzione GNU/Linux in uso per controllare le versione del pacchetto.

Cerco di essere prudente in materia di sicurezza informatica ed ho trovato assurdo lanciare direttamente l’eseguibile xz per verificare se la versione installata fosse quella infetta.

Vediamo dunque come si verifica correttamente la versione di un pacchetto installato su sitemi GNU/Linux. Per comodità ho separato le distribuzioni in base al gestore dei pacchetti.

Tenete presente che i seguenti comandi che uso filtrano esplicitamente i pacchetti con xz nel nome.

Debian

Questo funziona su tutte le distribuzioni basate su Debian.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

# apt
apt list xz

# or with more details
apt show xz

# or with dpkg
dpkg-query -l '*xz*'

# or
dpkg-query -l | grep xz

Fedora

Questo vale per tutte le distribuzioni basate su Fedora (Amazon Linux, ecc…). Si può usare anche RPM Package Manager (RPM).

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

# dnf
dnf list installed xz*

# or
dnf list installed | grep xz

# or with yam
yum list installed | grep xz

# or via RPM
rpm -qa | grep xz

Arch Linux

Questo funziona anche per le distribuzioni basate su Arch. Tra cui Manjaro, EndeavourOS e persino SteamOS.

1
2
3
4
5

# pacman
pacman -Qs xz

# or
pacman -Q | grep xz

OpenSUSE Tumbleweed

I comandi sono validi anche per le distribuzioni basate su SUSE e OpenSUSE come GeckoLinux e Linux Kamarada. Si può anche usare RPM.

1
2
3
4
5

# zypper
zypper info xz

# or
rpm -qa | grep xz