Меры предосторожности на Manjaro Testing branch в связи с CVE-2024-3094

UPDATE as of 10/04/2024

На данный момент вам может понадобиться

$ sudo pacman -Syyu

после обновления списка зеркал. Другой способ:

$ sudo pacman -Syy; $ sudo pacman -Syu

Ваша установка должна пройти cледующий этап :-

:: Synchronizing package databases...
core                              147.7 KiB   444 KiB/s 00:00 [##################################] 100%
extra                               8.7 MiB  6.76 MiB/s 00:01 [##################################] 100%
multilib                          144.9 KiB   315 KiB/s 00:00 [##################################] 100%
:: Some packages should be upgraded first...
resolving dependencies...
looking for conflicting packages...
Packages (1) archlinux-keyring-20240313-1
Total Download Size:   1.16 MiB
Total Installed Size:  1.66 MiB
Net Upgrade Size:      0.00 MiB
:: Proceed with installation? [Y/n] Y
.  .  .  .  .  .  .

:: Starting full system upgrade...
:: Replace baloo5 with extra/baloo? [Y/n] Y
:: Replace breeze with extra/breeze5? [Y/n] Y
:: Replace ksysguard with extra/plasma-systemmonitor? [Y/n] Y
:: Replace kuserfeedback5 with extra/kuserfeedback? [Y/n] Y
:: Replace oxygen with extra/oxygen5? [Y/n] Y
:: Replace plasma-integration with extra/plasma5-integration? [Y/n] Y
:: Replace plasma-wayland-session with extra/plasma-workspace? [Y/n] Y
:: Replace plasma5-themes-breath with extra/plasma6-themes-breath? [Y/n] Y
:: Replace plasma5-themes-breath-migration with extra/plasma6-themes-breath-migration? [Y/n] Y
resolving dependencies...
:: There are 2 providers available for qt6-multimedia-backend:
:: Repository extra
  1) qt6-multimedia-ffmpeg  2) qt6-multimedia-gstreamer
Enter a number (default=1): 1

END UPDATE

Согласно

https://forum.manjaro.org/t/xz-package-contains-a-vulnerability/159028/26

Arch не связывает openssh напрямую с liblzma, поэтому данный вектор атаки невозможен. Вы можете подтвердить это, выполнив следующую команду:

$ ldd "$(command -v sshd)"

Однако из соображений предосторожности мы советуем пользователям удалить вредоносный код из своей системы, выполнив обновление любым способом. Это связано с тем, что могут существовать и другие, еще не обнаруженные методы использования бэкдора. – Arch Linux - Новости: Пакет xz имеет бэкдор При тестировании Manjaro можно оставить версию xz-5.6.3-1. В ней уже удален backdoor. Смотри детально

Runtime snapshot 1

Runtime snapshot 2

Runtime snapshot 3

References