Es betrifft angeblich „nur“ die Branch 5.6.x, alles davor soll gut sein.
Da Github, aus welchen Gründen auch immer, das xz repo deaktiviert hat kann man ja nicht mal nachschauen wer/wann/welchen Commit…danke Microsoft.
Als temporärer Workaround auf eine Vorgängerversion downgraden, z.B:.
sudo downgrade xz5.4.xinstallieren
und alle Updates <=5.6.1 ignorieren bis die das Problem Upstream gelöst haben.
Hierzu mal eine wichtige Bemerkung bei „opensuse.org“:
are you sure that that code doesn’t have any other backdoors. The bad actor already released version 5.4 and signed it! I think you have to go further back.