Meu Arch estava com essa versão instalada, apareceu uma atualização ontem para a 5.6.2. Só é ruim ainda usarem o mesmo repositório git, pois ele pode estar comprometido. O Github trancou o repositório.
XZ Utils. Contribute to tukaani-project/xz development by creating an account on GitHub.
github.com
O openssh não usa diretamente o liblzma (que usa o xz). No entanto, o Debian e várias outras distribuições configuram o openssh para suportar a notificação do SystemD, e o libSystemD depende do lzma.
Arch não vincula diretamente o openssh ao liblzma e, portanto, esse vetor de ataque não é possível.
Quem está em risco e foi anunciado é quem usa Fedora 40, Debian Sid, Kali Linux e OpenSuse Tumbleweed.
O backdoor só se ativava nas condições de estar em distros RPM ou DEB, utilizando SystemD e com o SSH ativado.
O problema maior é que o desenvolvedor que injetou esse backdoor, estava no projeto há 2 anos e até se encontrou com outros desenvolvedores. O nome e sobrenome do desenvolvedor dá a entender que o cara é chinês (estão evitando falar disso para não gerar um problema diplomático). Foi algo bem sofisticado, um outro desenvolvedor descobriu meio que por acaso, ao perceber um uso estranho de CPU em sua instalação Debian.
news.ycombinator.com