微软员工AndresFreund分享了他在Debian安装的xz包中发现的奇怪现象。Freund注意到ssh登录需要大量CPU，因此决定进行调查，最终发现了这一问题。

该漏洞已获得最高安全评级，CVS评分为10，并获得了RedHat产品安全严重影响评级。

RedHat将此问题标记为CVE-2024-3094，但考虑到其严重性以及之前的主要漏洞被命名为Heartbleed，社区厚颜无耻地将此漏洞命名为一个更粗俗的名称，并颠倒了Heartbleed徽标。

RedHat写道：“从5.6.0版本开始，在xz的上游tarball中发现了恶意代码。通过一系列复杂的混淆，liblzma构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件，然后使用该文件修改liblzma代码中的特定函数。这会导致修改后的liblzma库可被任何链接到此库的软件使用，从而拦截和修改与此库的数据交互。”

恶意注入仅在xz版本5.6.0和5.6.1库的tarball下载包中发现。Git发行版不包含触发代码的M4宏。如果存在恶意M4宏，则第二阶段工件在构建期间存在于Git存储库中以供注入。如果不合并到构建中，第二阶段文件是无害的。

建议用户在以下发行版中检查xz版本5.6.0或5.6.1并降级至5.4.6。如果无法降级，则应禁用面向公众的SSH服务器。