Introduzione
Dopo la scoperta della backdoor in XZ Utils (CVE-2024-3094), in molti suggerivano di eseguire direttamente xz --version per controllare la versione installata.
Se si sospetta che un eseguibile possa essere compromesso, è preferibile non avviarlo nemmeno per conoscerne la versione. Il package manager può fornire la stessa informazione senza eseguire il binario.
Vediamo dunque come verificare correttamente la versione di un pacchetto installato su sistemi GNU/Linux. Per comodità ho separato le distribuzioni in base al gestore dei pacchetti.
Tenete presente che i comandi seguenti filtrano esplicitamente i pacchetti con xz nel nome.
Debian
Questi comandi funzionano su tutte le distribuzioni basate su Debian.
# aptapt list xz# or with more detailsapt show xz# or with dpkgdpkg-query -l '*xz*'# ordpkg-query -l | grep xzFedora
Questi comandi valgono per Fedora e per le distribuzioni che usano RPM e DNF. Si può usare anche RPM Package Manager (RPM).
# dnfdnf list installed xz*# ordnf list installed | grep xz# or with yumyum list installed | grep xz# or via RPMrpm -qa | grep xzArch Linux
Questi comandi funzionano anche per le distribuzioni basate su Arch. Tra cui Manjaro, EndeavourOS e persino SteamOS.
# pacmanpacman -Qs xz# orpacman -Q | grep xzopenSUSE Tumbleweed
I comandi sono validi anche per le distribuzioni basate su SUSE e openSUSE come GeckoLinux e Linux Kamarada. Si può anche usare RPM.
# zypperzypper info xz# orrpm -qa | grep xzUltimo aggiornamento
2024-04-09.
Sorgente dell’articolo content/blog/check_package_version_on_linux.