Vagy ezeket cserélte le a releaseben?
Egyik sem.
Ha jól értem, akkor az van, hogyha csak letöltöd és simán lefordítod az xz-t, akkor az rendben van, backdoor mentes marad. Ellenben ha a github CI által is használt release szkriptet használod a fordításhoz, az előbb lefuttatja a teszteket, ekkor viszont a gyári configure szkript lecserélődik egy olyanra, ami a végeredménybe belerakja a backdoor-t.
Az általad linkelt commit-ok csupán csak olyan tesztfájlokat adnak hozzá, amik a hekkhez szükséges obfuszkált adatokat tartalmazzák. Önmagukban semmi jelentőségük, a módosított configure szkriptre is szükség van, hogy a belőlük kinyert adattal kezdjen is valamit (ami a tesztek futtatása során történik meg). A sima (első lépésben nem módosított) szkript futtatásakor ezek csupán csak tesztadatokként szolgálnak, és a beléjük rejtett okosságot semmi sem használja fel.