Разъяснение влияния уязвимости утилиты XZ на зависимости кода (Scala/Akka)

Я слышал о критической уязвимости, обнаруженной на SSH-серверах, особенно затрагивающей версии утилиты XZ 5.6.0 и 5.6.1, а также библиотеку liblzma. Эта уязвимость отслеживается под номером CVE-2024-3094 и имеет уровень серьезности 10,0, что означает, что она является критической.

Я здесь немного запутался. Будет ли эта уязвимость влиять только на уровень операционной системы? Например, сейчас я работаю со Scala (scala-2.12.18) и Akka. Просматривая свой код, я обнаружил следующую зависимость:

<dependency>
  <groupId>org.tukaani</groupId>
  <artifactId>xz</artifactId>
  <scope>test</scope>
</dependency>

Он находился по этому пути:

.sbt\boot\scala-2.12.18\org.scala-sbt\sbt\1.9.6\log4j-core-2.17.1.jar!\META-INF\maven\org.apache.logging.log4j\log4j- ядро\pom.xml

Кроме того, я нашел это:

<dependency>
  <groupId>org.tukaani</groupId>
  <artifactId>xz</artifactId>
  <version>1.8</version>
  <optional>true</optional>
</dependency>

По этому пути:

AppData\Local\Coursier\cache\v1\https\http://repo1.maven.org\maven2\org\apache\commons\commons-compress\1.18\commons-compress-1.18.jar!\META-INF\maven \org.apache.commons\commons-compress\pom.xml

Когда я проверил https://mvnrepository.com/artifact/org.tukaani/xz, он показал последнюю версию как 1.9, тогда как затронутые версии — 5.6.0 и 5.6.1 XZ Utility.

Может ли кто-нибудь помочь мне понять, если я что-то упускаю? Является ли эта уязвимость только на уровне ОС, затрагивающей дистрибутивы Linux? Когда я выполнил следующую команду на своем сервере:

струны which xz | egrep "(XZ Utils)"

Я получил следующий ответ:

xz (Утилиты XZ) 5.2.2

Это подтверждает, что мы в безопасности. Однако я до сих пор не понимаю, почему существует разница между версией в репозитории Maven и на уровне ОС.

Извиняюсь, если я упускаю здесь что-то основное.