摘要:
xz security update
安全等级: High
公告ID: KylinSec-SA-2025-2520
发布日期: 2025年6月23日
关联CVE: CVE-2025-31115
XZ Utils 是一款免费的通用数据压缩软件,具有高压缩率。XZ Utils 专为类 POSIX 系统开发,同时也兼容部分非标准 POSIX 系统。该工具是 LZMA Utils 的继任者。
安全修复项:
XZ Utils 提供通用数据压缩库及命令行工具。在 5.3.3alpha 至 5.8.0 版本中,liblzma 的多线程 .xz 解码器存在漏洞,恶意输入至少会导致程序崩溃。其影响包括:堆释放后重用(use-after-free)以及向空指针偏移地址写入数据。所有使用 lzma_stream_decoder_mt 函数的应用程序和库均受影响。
此漏洞已在 XZ Utils 5.8.1 版本中修复,相关补丁已提交至 xz Git 代码库的 v5.4、v5.6、v5.8 和 master 分支。旧版稳定分支不会发布新安装包,但提供了适用于所有受影响版本的独立补丁。(CVE-2025-31115)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2025-31115 | V6 | xz | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| xz-help | noarch | 5.4.7-5.ks6 |
| xz | x86_64 | 5.4.7-5.ks6 |
| xz-devel | x86_64 | 5.4.7-5.ks6 |
| xz-libs | x86_64 | 5.4.7-5.ks6 |
| xz-lzma-compat | x86_64 | 5.4.7-5.ks6 |
| xz | aarch64 | 5.4.7-5.ks6 |
| xz-devel | aarch64 | 5.4.7-5.ks6 |
| xz-libs | aarch64 | 5.4.7-5.ks6 |
| xz-lzma-compat | aarch64 | 5.4.7-5.ks6 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
