XOrg Server и Xwayland устранили уязвимости безопасности

Пользователям настоятельно рекомендуется обновить свои системы до xorg-server 21.1.11 и xwayland 23.2.4 как можно скорее.

Реализации отображения XOrg Server и Xwayland были обновлены для устранения нескольких уязвимостей безопасности, которые могли привести к переполнению хэша, записям за пределами границ или локальному повышению привилегий.

Сегодня было опубликовано новое предупреждение безопасности X.Org, чтобы предупредить пользователей об уязвимостях CVE-2023-6816, приводящей к переполнению хэша и введенной в xorg-server v1.13.0 (выпущено в 2012 году), CVE-2024-0229, проблеме с доступом к памяти за пределами границ, введенной в xorg-server v1.1.1 (выпущено в 2006 году), и CVE-2024-21885, переполнении кучи, введенной в xorg-server v1.10.0 (выпущено в 2011 году).

Кроме того, новое предупреждение о безопасности предупреждает пользователей о CVE-2024-21886, еще одной проблеме с переполнением кучи, введенной в xorg-server v1.13.0 (выпущено в 2012 году), CVE-2024-0409, порче контекста SELinux, введенной в xorg-server v1.16.0 (выпущено в 2014 году), и CVE-2024-0408, проблеме с метками безопасности SELinux GLX PBuffer, введенной в xorg-server v1.10.0 (выпущено в 2011 году).

Уязвимости CVE-2023-6816, CVE-2024-0229, CVE-2024-21885 и CVE-2024-21886 были обнаружены Ян-Никласом Зоном из Zero Day Initiative Trend Micro, CVE-2024-0409 была обнаружена Оливье Фурданом, а CVE-2024-0408 — Оливье Фурданом и Донном Сили.

Все эти уязвимости теперь устранены в xorg-server v21.1.11, а также в xwayland v23.2.4. Эти новые версии скоро появятся в стабильных репозиториях программного обеспечения ваших любимых дистрибутивов GNU/Linux, поэтому разумно обновить свои установки, как только они появятся.

Помимо исправления этих уязвимостей, релиз xorg-server v21.1.11 также устраняет проблему с XRandR, позволяя использовать несколько виртуальных мониторов на физическом дисплее. С другой стороны, xwayland v23.2.4 также содержит несколько исправлений для glamor, поддержки libEI и систем FreeBSD.

Еще раз подчеркивается, что сервер X остается неустранимым от множества уязвимостей безопасности в 2024 году, поэтому настоятельно рекомендуется использовать Wayland. Также рекомендуется дистрибутивам Linux переключиться на Wayland по умолчанию в своих системах, если они этого еще не сделали, или устранить уязвимости в X-сервере.

Даже если ваш дистрибутив использует Wayland по умолчанию, скорее всего, реализация Xwayland все равно используется для совместимости с приложениями X11, поэтому вам все равно нужно обновить свои системы и удостовериться, что установлена последняя версия.