Debian决定推迟发布12.6

毫无疑问，几天前，后门上游XZ tarball故意渗透到Debian sid存储库，允许无需身份验证的远程SSH访问，这在Linux社区引发了一场真正的风暴。

这个名为CVE-2024-3094的安全漏洞不仅影响了Debian sid。它还影响了其他几个Linux发行版，包括某些版本的Fedora、Arch、openSUSE Tumbleweed、Kali等。

有鉴于此，Debian项目宣布推迟发布其即将推出的12.6版本，最初计划于4月6日发布。这一决定是在团队进行彻底调查之际做出的，包括评估其对Debian Archive的潜在影响，Debian Archive是Debian软件包的全面集合。

尽管目前没有证据表明Debian的任何稳定版本都会受到此问题的影响，但确保该漏洞不会影响发行版庞大的应用程序和服务生态系统至关重要。

Debian以优先考虑安全性和稳定性而闻名，这并不奇怪——这一承诺使其成为可靠服务器操作系统的首选。

因此，“书虫”12系列的第六次更新将推迟发布，直到开发者彻底检查CVE-2024-3094的每一个细节，以确保用户可能面临的所有风险都得到完全解决。目前，Debian项目还没有为12.6的发布设定新的日期。

这种方法非常适合他们只有在完全准备好的情况下才发布更新的常规做法。

与此同时，XZ的两大领先开发者之一Lasse Collin发布了信息，强调贾坦已经创建并签署了所有后门软件包。目前，他的行为背后的原因仍完全不清楚。

和往常一样，我们会密切关注情况，并在任何变化时向您提供最新信息。