快科技4月1日消息，日前，開源軟件xz-utils被曝5.6.0到5.6.1版本，存在被供應鏈攻擊并植入后門風險。

統信軟件官方宣布，已對旗下所有產品完成了排查，確認包括統信UOS桌面操作系統與服務器操作系統各版本均不受其影響，用戶可以放心使用。

據了解，xz 5.6.0與5.6.1版本的上游代碼中發現了后門程序，它通過加入測試用的二進制數據，然后再在編譯腳本中從上述數據里提取內容修改編譯結果。

根據目前初步研究顯示，生成的代碼會掛鉤OpenSSH的RSA加密相關函數，使得攻擊者可以通過特定方式繞過RSA簽名驗證過程，其他可能的影響仍在持續研究中。

作為一款流行的壓縮軟件，liblzma/xz被各Linux發行版廣泛使用，因此此安全漏洞的影響面較廣，對整個Linux生態系統構成了威脅。

統信UOS操作系統受影響情況分析：

統信UOS桌面操作系統1060版本上xz-utils的版本為5.2.4.1-1+dde，不在漏洞影響范圍內，不受該漏洞影響。

統信UOS服務器操作系統1060版本上xz的版本為5.2.5-3.uel20.01，不在漏洞影響范圍內，不受該漏洞影響。

另外，統信UOS操作系統其它版本均已被驗證不受該漏洞影響。

根據統信去年12月數據，統信UOS裝機量目前已達600萬套，市占率持續保持第一，服務器版發貨量增速為行業第一。