የX.Org Server 21.1.11 እና DDX component (Device-Dependent X) xwayland 23.2.4 የማስተካከያ ልቀቶች ታትመዋል፣ ይህም የX.Org Server በ Wayland ላይ በተመሰረቱ አካባቢዎች የX11 አፕሊኬሽኖችን አፈፃፀም ለማደራጀት መጀመሩን ያረጋግጣል። አዲሶቹ እትሞች 6 ተጋላጭነቶችን ያስተካክላሉ፣ አንዳንዶቹ ደግሞ X አገልጋዩ እንደ ስር ሆኖ በሚሰራባቸው ስርዓቶች ላይ ልዩ መብትን ለመጨመር እና እንዲሁም በኤስኤስኤች በኩል የX11 ክፍለ ጊዜ ማዘዋወርን በሚጠቀሙ ውቅሮች ውስጥ የርቀት ኮድ አፈፃፀም ሊጠቀሙበት ይችላሉ።
ተለይተው የሚታወቁ ጉዳዮች፡-
- CVE-2023-6816 - በ DeviceFocusEvent እና ProcXIQueryPointer ኦፕሬሽኖች ውስጥ የተሳሳተ የድርድር መረጃ ጠቋሚ ሲያልፍ የቋት መትረፍ ይከሰታል። ተጋላጭነቱ የተፈጠረው X አገልጋዩ የድርድር ማህደረ ትውስታን በትክክለኛ የአዝራሮች ብዛት በመመደብ ሲሆን ጥያቄው በድርድር ውስጥ እስከ 255 የሚደርሱ ዋጋዎችን ይፈቅዳል። ችግሩ ከተለቀቀ በኋላ ግልፅ ነው። .1.13.0 (2012).
- CVE-2024-0229 ከገደብ ውጪ የሆነ ቋት ከሌላ ዋና መሳሪያ ጋር በማዋቀር መሳሪያው ሁለቱም የክፍል “አዝራር” እና “ቁልፍ” (ቁልፍ) የግቤት አካላት እና የቁጥር ብዛት ያለው ሲሆን ይፃፉ። አዝራሮች (numButtons መለኪያ) ወደ 0 ተቀናብሯል. ችግሩ የ xorg-server-1.1.1 (2006) ከተለቀቀ በኋላ እየታየ ነው.
- CVE-2024-21885 - በXISendDeviceHierarchyEvent ተግባር ውስጥ ያለው ቋት ሞልቶ የሚወጣው መታወቂያ ያለው መሳሪያ ሲወገድ እና ተመሳሳይ መታወቂያ ያለው መሳሪያ በተመሳሳይ ጥያቄ ሲጨመር ነው። ተጋላጭነቱ የተከሰተው ለአንድ መለያ ድርብ ቀዶ ጥገና በሚደረግበት ጊዜ የ xXIHierarchyInfo መዋቅር ሁለት አጋጣሚዎች በአንድ ጊዜ ሲጻፉ የXISendDeviceHierarchyEvent ተግባር ማህደረ ትውስታን ለአንድ ምሳሌ በመመደብ ነው። ችግሩ የ xorg-server-1.10.0 (2010) ከተለቀቀ በኋላ እየታየ ነው።
- CVE-2024-21886 - በDisableDevice ተግባር ውስጥ ዋና መሳሪያ ሲሰናከል የሚፈጠረው ቋት ሞልቶ የሚፈስ ነው። ተጋላጭነቱ የሚከሰተው የመሳሪያውን ዝርዝር ለማከማቸት መዋቅሩ መጠን ትክክል ባልሆነ ስሌት ነው። ችግሩ የ xorg-server-1.13.0 (2012) ከተለቀቀ በኋላ እየታየ ነው።
- CVE-2024-0409፣ CVE-2024-0408 - xserver_object_managerን ሲያነቃ እና ደንበኛን ሲያስኬድ ወይም GLX PBuffer ሲፈጥር SELinux አውድ ሙስና።
ምንጭ: opennet.ru