2024 年 4 月 1 日

Anaconda 未受恶意 xz 代码影响

Emilie Lewis

Anaconda 团队

发生了什么？

2024 年 3 月 29 日发布的公告披露了影响最新版本的“xz”工具和库的恶意代码。这是一个被认定为级别 10 严重程度的 CVE。我们想借此机会向您保证，Anaconda 产品和包不受此事件的影响，我们的客户免受此问题的影响。

为什么 Anaconda 产品和包不受影响？

数据科学和 AI 工作台 (AE5/DSP) 和包安全管理器 (服务器)

Anaconda 使用 RHEL 作为 UBI 基础映像来构建工作台和包安全管理器。RedHat 已经确认 RHEL 未受影响。某些 Fedora 版本中存在此漏洞。

Anaconda.org

受影响的 xz 库版本 (5.6.0 和 5.6.1) 不存在于以下任何 anaconda、main 和 conda-forge 通道中。

https://anaconda.org/anaconda/xz
https://anaconda.org/main/xz
https://anaconda.org/conda-forge/xz（未由 Anaconda 管理，但在 anaconda.org 上托管）

根据截至 2024 年 4 月 1 日的可用信息，仅 xz 的 5.6.0 和 5.6.1 源代码工件受到影响，因此，Anaconda 的产品据悉不会受到此后门漏洞的影响。但是，由于这是软件安全社区正在进行的调查，我们目前无法 100% 确定没有其他 xz 版本或其他项目受到影响；但请放心，Anaconda 将继续向我们的客户和社区更新任何进一步的发展情况。

要详细了解 conda-forge 社区如何应对此问题，请参阅他们发布的博客文章。有关 Anaconda 安全性的更多信息，请点击此处。