ProHoster > Π‘Π»ΠΎΠ³ > Новости ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚Π° > ОбновлСниС X.Org Server 21.1.11 с устранСниСм 6 уязвимостСй

ОбновлСниС X.Org Server 21.1.11 с устранСниСм 6 уязвимостСй

ΠžΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½Ρ‹ ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚ΠΈΡ€ΡƒΡŽΡ‰ΠΈΠ΅ выпуски X.Org Server 21.1.11 ΠΈ DDX-ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Π° (Device-Dependent X) xwayland 23.2.4, ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°ΡŽΡ‰Π΅Π³ΠΎ запуск X.Org Server для ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ выполнСния X11-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ Π² окруТСниях Π½Π° Π±Π°Π·Π΅ Wayland. Π’ Π½ΠΎΠ²Ρ‹Ρ… вСрсиях устранСно 6 уязвимостСй, Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΈΠ· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ эксплуатированы для ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΡ ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΉ Π² систСмах, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… X-сСрвСр выполняСтся с ΠΏΡ€Π°Π²Π°ΠΌΠΈ root, Π° Ρ‚Π°ΠΊΠΆΠ΅ для ΡƒΠ΄Π°Π»Ρ‘Π½Π½ΠΎΠ³ΠΎ выполнСния ΠΊΠΎΠ΄Π° Π² конфигурациях, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… для доступа ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ ΠΏΠ΅Ρ€Π΅Π½Π°ΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ сСанса X11 ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ SSH.

ВыявлСнныС ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹:

  • CVE-2023-6816 — ΠΏΠ΅Ρ€Π΅ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ Π±ΡƒΡ„Π΅Ρ€Π°, Π²ΠΎΠ·Π½ΠΈΠΊΠ°ΡŽΡ‰Π΅Π΅ ΠΏΡ€ΠΈ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Π΅ Π½Π΅ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚Π½ΠΎΠ³ΠΎ индСкса массива Π² опСрациях DeviceFocusEvent ΠΈ ProcXIQueryPointer. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π²Ρ‹Π·Π²Π°Π½Π° Ρ‚Π΅ΠΌ, Ρ‡Ρ‚ΠΎ X-сСрвСр выдСляСт ΠΏΠ°ΠΌΡΡ‚ΡŒ массива с ΡƒΡ‡Ρ‘Ρ‚ΠΎΠΌ фактичСского числа ΠΊΠ½ΠΎΠΏΠΎΠΊ, Π² Ρ‚ΠΎ врСмя ΠΊΠ°ΠΊ запрос позволяСт ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ Π² массивС значСния Π΄ΠΎ 255. ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° проявляСтся начиная с выпуска xorg-server-1.13.0 (2012 Π³ΠΎΠ΄).
  • CVE-2024-0229 — запись Π² ΠΎΠ±Π»Π°ΡΡ‚ΡŒ Π²Π½Π΅ Π³Ρ€Π°Π½ΠΈΡ†Ρ‹ Π±ΡƒΡ„Π΅Ρ€Π° Ρ‡Π΅Ρ€Π΅Π· ΠΏΠΎΠ²Ρ‚ΠΎΡ€Π½ΡƒΡŽ привязку ΠΊ Π΄Ρ€ΡƒΠ³ΠΎΠΌΡƒ master-устройству Π² ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ устройство ΠΎΠ΄Π½ΠΎΠ²Ρ€Π΅ΠΌΠ΅Π½Π½ΠΎ оснащСно элСмСнтами Π²Π²ΠΎΠ΄Π° класса «ΠΊΠ½ΠΎΠΏΠΊΠ°» (button) ΠΈ «ΠΊΠ»Π°Π²ΠΈΡˆΠ°» (key), ΠΈ ΠΏΡ€ΠΈ этом число ΠΊΠ½ΠΎΠΏΠΎΠΊ (ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ numButtons) выставлСн Π² 0. ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° проявляСтся начиная с выпуска xorg-server-1.1.1 (2006 Π³ΠΎΠ΄).
  • CVE-2024-21885 — ΠΏΠ΅Ρ€Π΅ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ Π±ΡƒΡ„Π΅Ρ€Π° Π² Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ XISendDeviceHierarchyEvent, Π²ΠΎΠ·Π½ΠΈΠΊΠ°ΡŽΡ‰Π΅Π΅ ΠΏΡ€ΠΈ ΡƒΠ΄Π°Π»Π΅Π½ΠΈΠΈ устройства с Π·Π°Π΄Π°Π½Π½Ρ‹ΠΌ ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€ΠΎΠΌ ΠΈ Π΄ΠΎΠ±Π°Π²Π»Π΅Π½ΠΈΠΈ устройства с Ρ‚Π΅ΠΌ ΠΆΠ΅ ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€ΠΎΠΌ Π² Ρ€Π°ΠΌΠΊΠ°Ρ… ΠΎΠ΄Π½ΠΎΠ³ΠΎ запроса. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π²Ρ‹Π·Π²Π°Π½Π° Ρ‚Π΅ΠΌ, Ρ‡Ρ‚ΠΎ ΠΏΡ€ΠΈ Π΄Π²ΠΎΠΉΠ½ΠΎΠΉ ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΈ для ΠΎΠ΄Π½ΠΎΠ³ΠΎ ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€Π° записываСтся сразу Π΄Π²Π° экзСмпляра структуры xXIHierarchyInfo, Π² Ρ‚ΠΎ врСмя ΠΊΠ°ΠΊ функция XISendDeviceHierarchyEvent выдСляСт ΠΏΠ°ΠΌΡΡ‚ΡŒ с расчётом Π½Π° ΠΎΠ΄ΠΈΠ½ экзСмпляр. ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° проявляСтся начиная с выпуска xorg-server-1.10.0 (2010 Π³ΠΎΠ΄).
  • CVE-2024-21886 — ΠΏΠ΅Ρ€Π΅ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ Π±ΡƒΡ„Π΅Ρ€Π° Π² Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ DisableDevice, Π²ΠΎΠ·Π½ΠΈΠΊΠ°ΡŽΡ‰Π΅Π΅ ΠΏΡ€ΠΈ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠΈ master-устройства ΠΏΡ€ΠΈ ΡƒΠΆΠ΅ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Ρ‘Π½Π½Ρ‹Ρ… slave-устройствах. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π²Ρ‹Π·Π²Π°Π½Π° Π½Π΅Π²Π΅Ρ€Π½Ρ‹ΠΌ расчётом Ρ€Π°Π·ΠΌΠ΅Ρ€Π° структуры для хранСния списка устройств. ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° проявляСтся начиная с выпуска xorg-server-1.13.0 (2012 Π³ΠΎΠ΄).
  • CVE-2024-0409, CVE-2024-0408 — ΠΏΠΎΠ²Ρ€Π΅ΠΆΠ΄Π΅Π½ΠΈΠ΅ контСкста SELinux ΠΏΡ€ΠΈ Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠΈ xserver_object_manager ΠΈ запускС ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° ΠΈΠ»ΠΈ создании GLX PBuffer.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru