Az X.Org tovább él, és kilenc biztonsági hibát javítottak!

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

Az X.Org biztonsági frissítéseket adott ki az X.Org Server és az XWayland számára, amelyek több sebezhetőséget orvosolnak. Az új kiadások az X.Org Server 21.1.23 és az XWayland 24.1.12. A tájékoztató szerint a korábbi verziók érintettek. A CVE azonosítókat kértek, de a nyilvános bejelentés előtt nem rendeltek hozzájuk.

A tájékoztató kilenc biztonsági problémát sorol fel, beleértve a verem alapú puffertúlcsordulásokat, a használat után felszabadított hibákat, a határon túli olvasási és írási hibákat, valamint az adatvédelmi sebezhetőségeket. Az érintett komponensek közé tartozik a Font Alias kezelés, az XSYNC, az XKB, a GLX, a CreateSaverWindow és a DRI2.

Az egyik javított probléma a Font Alias verem alapú puffertúlcsordulás, amely a maximális betűtípus név hosszának eltéréséből adódik az X szerver és a libXfont2 között. Az X szerver egy 256 bájtos verem puffert allokál, míg a libXfont2 1024 bájtig engedélyez alias célneveket. Ennek következtében egy 257 és 1023 bájt közötti betűtípus alias név túllépheti az X szerver puffert.

Több hiba érinti az XSYNC-t. A tájékoztató a 

miSyncDestroyFence()

, a 

FreeCounter()

és a 

SyncChangeCounter()

használat után felszabadított problémáit írja le. Minden esetben egy kliens szinkronizációs objektumokat hozhat létre, és további kliens kapcsolatok használatával aktiválhatja a nem biztonságos viselkedést az objektumok megsemmisítésével vagy módosításával.

Az XKB-t két verem alapú puffertúlcsordulás probléma érinti. Az egyik a billentyűtípus kezelésével kapcsolatos, és a CVE-2025-26597 részleges javításaként van leírva. A másik az XKB SetMap kérés útvonalát érinti, ahol egy fix hosszúságú verem puffer határon túli írásra kerülhet egy kliens által vezérelt billentyűtípus indexen keresztül.

A GLX hiba a ChangeDrawableAttributes-t érinti, és határon túli olvasásokat vagy írásokat okozhat. A tájékoztató megjegyzi, hogy az olvasási útvonal adatvédelmi sebezhetőséghez vezethet, míg az írási útvonal összeomláshoz vezethet, vagy potenciálisan lehetővé teheti a jogosultságok emelését, ha az X szerver rootként fut. Az írási útvonal byte-swapelt klienseket igényel, amelyek alapértelmezés szerint le vannak tiltva.

Újabb javított hiba a CreateSaverWindow használat után felszabadított probléma, amely információt fedhet fel, miután egy kliens megváltoztatja az ablak attribútumait és aktiválja a képernyővédőt. Az utolsó probléma a DRI2-t érinti, ahol bizonyos DRIGetBuffers vagy DRIGetBuffersWithFormat kérések határon túli heap írást okozhatnak.

További részletekért lásd a bejelentést.

A felhasználóknak a frissített csomagokat a lehető leghamarabb telepíteniük kell, amint azok elérhetők a Linux disztribúciójukból.