Open2

brewで特定のソフトウェアのバージョンを固定する

shunsockshunsock

About

xzの脆弱性が発見されたので対応した

Malicious code was discovered in the upstream tarballs of xz, starting with version 5.6.0.

reference: https://nvd.nist.gov/vuln/detail/CVE-2024-3094

Check Version of XZ

調べたところ,私は問題となった5.6.x系を使っていなかった.

shunsuke.tsuchiya in ~ λ xz --version
xz (XZ Utils) 5.4.5
liblzma 5.4.5

Pin Software Version with Brew

よって以下の方法でバージョンを固定し,brew upgradeに巻き込まれないようにした.

brew pin xz
brew list --pinned
// xz
shunsockshunsock

How to Pin Software Version with Brew

brew pin // pin software version
brew unpin // remove pin
brew list --pinned  // checking