В свет вышел значительный релиз XZ Utils 5.8.1, ставший первым после устранения скандала с бэкдором в проекте. Релиз устраняет уязвимость (CVE-2025-31115), которая могла привести к аварийному завершению при распаковке специально сформированных архивов. Проблема была вызвана доступом к освобождённой памяти и затрагивала многопоточные декодировщики.
Проблема прослеживалась с версии 5.3.3alpha, затрагивая не только штатные утилиты, но и сторонние программы, использующие библиотеку liblzma. Уязвимость считается случайной ошибкой, хотя стала следствием изменений, внесённых до прихода в проект разработчика, внёсшего бэкдор.
Кроме исправлений, в версии 5.8 были внедрены функциональные улучшения:
- Ускорение декодирования на x86-системах за счёт SSE2-инструкций.
- Повышение скорости кодирования на PowerPC и RISC-V.
- Новый API BCJ-фильтров для RISC-V, ARM64 и x86.
- Ускорение вычисления CRC32 на LoongArch.
- Вызов fsync() для сброса файловых кэшей в 'xz'.
- Поддержка механизма Landlock версии 5 и 6.
Обновления доступны для популярных дистрибутивов, таких как Debian, Ubuntu, RHEL и другие. В связи с указанной уязвимостью, пользователям рекомендуется обновить XZ Utils до 5.8.1. Для тех, кто использует более старые версии, предлагалось временное избегать многопоточного декодирования.
