Két hónapja, hogy sürgős biztonsági riasztást adtak ki az XZ-t ért rosszindulatú kód miatt, amelyről kiderült, hogy egy backdoor volt a liblzma könyvtárban, amit egy rosszindulatú fejlesztő helyezett el, miután bekerült az XZ társkarbanntartói közé. Az XZ régi fejlesztője, Lasse Collin visszatért a vezetői posztra, és átvizsgálta az előző XZ commitokat, majd ma kiadta az XZ 5.6.2 verziót, amelyből teljesen eltávolította a CVE-2024-3094 backdoort.
A rosszindulatú kód a v5.6 és v5.6.1 kiadásokban volt jelen. Az XZ backdoor helyzetének vizsgálata továbbra is folyamatban van, és az érdeklődők az XZ backdoor oldalán találhatnak friss információkat.
Lasse Collin azt is bejelentette, hogy Sam James támogató karbantartóként csatlakozott az XZ projekthez a jövőbeni munkálatokhoz.
Az XZ 5.6.2 kiadás néhány hibajavítást is tartalmaz, beleértve a build hibák javítását a legújabb NVIDIA HPC SDK (fordítóprogram) használatakor, valamint a GNU Indirect Function (IFUNC) támogatásának megszüntetését. Az IFUNC támogatást az XZ backdoor használta, de ennek a kódnak az eltávolítása azért történt, mert a használatából eredő teljesítménynövekedés túl kicsi volt, miközben nagy bonyolultságot okozott. Az XZ 5.4.7 és az XZ 5.2.13 is ma jelent meg különböző hibajavításokkal, de csak az XZ 5.6 sorozatot érintette a backdoor helyzete.
Az új XZ pontkiadások elérhetők a GitHub-ról.