日前，開源軟件xz-utils被曝5.6.0到5.6.1版本，存在被供應鏈攻擊并植入后門風險。

統(tǒng)信軟件官方宣布，已對旗下所有產品完成了排查，確認包括統(tǒng)信UOS桌面操作系統(tǒng)與服務器操作系統(tǒng)各版本均不受其影響，用戶可以放心使用。

據了解，xz 5.6.0與5.6.1版本的上游代碼中發(fā)現(xiàn)了后門程序，它通過加入測試用的二進制數(shù)據，然后再在編譯腳本中從上述數(shù)據里提取內容修改編譯結果。

根據目前初步研究顯示，生成的代碼會掛鉤OpenSSH的RSA加密相關函數(shù)，使得攻擊者可以通過特定方式繞過RSA簽名驗證過程，其他可能的影響仍在持續(xù)研究中。

作為一款流行的壓縮軟件，liblzma/xz被各Linux發(fā)行版廣泛使用，因此此安全漏洞的影響面較廣，對整個Linux生態(tài)系統(tǒng)構成了威脅。

統(tǒng)信UOS操作系統(tǒng)受影響情況分析：

統(tǒng)信UOS桌面操作系統(tǒng)1060版本上xz-utils的版本為5.2.4.1-1+dde，不在漏洞影響范圍內，不受該漏洞影響。

統(tǒng)信UOS服務器操作系統(tǒng)1060版本上xz的版本為5.2.5-3.uel20.01，不在漏洞影響范圍內，不受該漏洞影響。

另外，統(tǒng)信UOS操作系統(tǒng)其它版本均已被驗證不受該漏洞影響。

根據統(tǒng)信去年12月數(shù)據，統(tǒng)信UOS裝機量目前已達600萬套，市占率持續(xù)保持第一，服務器版發(fā)貨量增速為行業(yè)第一。