HomebrewのXZ Utilsバージョンの確認と対処

2024年3月29日にXZ Utils(以下XZ)にバックドアなどが仕込まれている可能性が発見された。
XZはHomebrewを介して入れている方が多いと思われるので、それに対する確認と適切なバージョンへの更新方法をまとめる。

目次

1.実行環境
2.バージョンの確認方法
3.バージョンの更新
4.バージョンの固定
5.終わりに
6.参考文献

実行環境

MacOS Ventura 13.5
Mac book Air 2022 m1
Homebrew 4.1.18

バージョンの確認方法

HomebrewでXZをインストールされているか確認するには、以下の方法がある。

• brew list インストールされているものをすべて出力
• brew list --versions xz XZのバージョンを簡易的に出力
• brew search xz XZに関して検索

Homebrewを介してインストールしたXZのバージョン確認

brew info xz

XZのバージョンを直接確認する場合

注意
以下のコマンドでの確認は非推奨

xz --version こちらの方法でも通常であれば確認が可能であるが、対象のバージョンである5.6.0,5.6.1などの5.6系では動作が正しいかの保証がない。なので、このコマンドでの確認は推奨しない。

これらの方法によりバージョンを確認する。
危険なバージョンである5.6系が存在する場合ダウングレードなどの対処を推奨する。

バージョンの更新

警告
5.6.0, 5.6.1(5.6系)がインストールされている方は実行を推奨

2024年4月1日現在ではHomebrewがバージョンをロールバックしている。よって、下記のコマンドを実行するだけで5.4.6にロールバックされる。

brew upgrade xz

アップグレード後は、バージョンの確認を行い5.4.6などの対応のバージョンに変化していることを確認する。

バージョンの固定

もし自動アップデートが不安な場合は、以下の方法でバージョンの固定が可能。

brew pin xz

このコマンドにより自動アップデートをしてもXZに関しては、アップデートされずに固定される。
また、下記のコマンドでこれを解除が可能。

brew unpin xz

固定されているものの確認は以下の方法でできる。

brew list --pinned

終わりに

今回の脆弱性はテストバージョンで確認されたため、私自身も対象のバージョンにアップデートしていなかったので、結果的に大丈夫であった。基本的にバージョンは最新を保つべきだが、このようなこともあるので気をつけたいと思った。

参考文献

• Homebrew https://formulae.brew.sh/formula/xz
• XZ Utils https://github.com/tukaani-project/xz 現在非公開
• 記事(随時更新)https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27