Une backdoor a été intégrée dans XZ par un développeur qui a lentement gagné en confiance jusqu'à réussir à faire ça, avec d'autres comptes mystérieux faisant pression sur le mainteneur qui allait mal mentalement (yikes, profiter des soucis de santé mentale comme ça, horrible). Cet article indique plus sur le sujet.
A priori, la librairie était encore surtout dans les canaux instable/beta, mais les distro en rolling release ont peut-être été affectées. Ça a été découvert avant qu'il puisse intégrer ça dans la future branche d'Ubuntu mais il a réussi à l'intégrer dans Fedora 41/Rawhide ( https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users ).
Debian prépare à revert la librairie jusqu'à avant l'arrivée de ce dev dans le projet (tout en rajoutant les API manquante du coup). Elle est déjà revert à une version avant la backdoor.