В широко используемом наборе инструментов XZ Utils была выявлена уязвимость класса use-after-free. Патч уже доступен для всех затронутых версий, в Linux-дистрибутивах начали появляться обновления.
В появлении проблемы CVE-2025-31115 (8,7 балла CVSS) повинен декодировщик многопоточного режима в составе библиотеки liblzma. Эксплойт как минимум грозит крешем (DoS).
Уязвимости подвержены сборки XZ Utils с 5.3.3alpha по 5.8.0 включительно. Угроза также актуальна для сторонних приложений и библиотек, использующих функцию lzma_stream_decoder_mt.
Патч включен в состав выпуска XZ Utils 5.8.1, а также доступен в загрузках на сайте проекта. В качестве временной меры защиты можно отключить декодирование файлов в многопоточном режиме с помощью команды xz --decompress --threads=1 или xzdec.
В прошлом году в библиотеке liblzma, включенной в пакет XZ Utils, объявился бэкдор. Проблема получила идентификатор CVE-2024-3094 и 10 баллов из десяти возможных по шкале CVSS.
