ProHoster > blog > newyddion rhyngrwyd > Diweddariad X.Org Server 21.1.16 gyda 8 gwendidau sefydlog

Diweddariad X.Org Server 21.1.16 gyda 8 gwendidau sefydlog

Mae datganiadau cywirol o X.Org Server 21.1.16 a DDX (Dyfais-Dibynnol X) cydran xwayland 24.1.6 wedi'u cyhoeddi, sy'n sicrhau lansiad X.Org Server ar gyfer trefnu gweithredu cymwysiadau X11 mewn amgylcheddau yn Wayland. Mae'r fersiwn newydd o X.Org Server yn trwsio 8 bregusrwydd. Mae'n bosibl y gellir manteisio ar y materion hyn i gynyddu breintiau ar systemau lle mae'r gweinydd X yn rhedeg fel gwraidd, ac i weithredu cod o bell ar ffurfweddiadau lle mae anfon sesiwn X11 yn cael ei ddefnyddio ar gyfer mynediad trwy SSH.

Gwendidau a nodwyd:

  • CVE-2025-26594 - Defnydd-ar ôl-rhad ac am ddim yn agored i niwed yn triniwr cyrchwr ffenestr gwraidd. Mae'r bregusrwydd yn dyddio'n ôl i cyn rhyddhau X11R6.6 yn 2001.
  • CVE-2025-26595 - Mae gorlif byffer yn bodoli yn y swyddogaeth XkbVModMaskText() a achosir trwy gopïo enwau rhith-addaswyr i mewn i glustog sefydlog heb wirio'r maint yn iawn. Mae'r bregusrwydd wedi bod yn bresennol ers X11R6.1 (1996).
  • CVE-2025-26596 - Mae gorlif byffer yn bodoli yn ffwythiant XkbWriteKeySyms(), oherwydd nad yw'r maint a gyfrifwyd gan swyddogaeth XkbSizeKeySyms() yn cyfateb i faint y data a ysgrifennwyd gan ffwythiant XkbWriteKeySyms(). Mae'r bregusrwydd wedi bod yn bresennol ers y fersiwn gyntaf o xkb.c, a gynhwyswyd yn X11R6 (1994).
  • CVE-2025-26597 - Gorlif byffer yn y ffwythiant XkbChangeTypesOfKey() oherwydd y defnydd o faint tabl cod nodau anghywir. Mae'r bregusrwydd wedi bod yn bresennol ers rhyddhau X11R6.1 (1996).
  • CVE-2025-26598 - Mae bregusrwydd mynediad all-derfynol yn bodoli yn CreatePointerBarrierClient(), a achosir gan ddychwelyd mynegai annilys i restr yn ystod chwiliad a fethwyd o ddyfais rheoli pwyntydd. Mae'r bregusrwydd yn ymddangos gan ddechrau gyda xorg-server 1.14.0 (2013).
  • CVE-2025-26599 - Mae gwall pwyntydd anghychwynnol yn digwydd yn swyddogaeth compRedirectWindow() pan nad yw'n bosibl dyrannu cof ar gyfer map didau. Mae'r bregusrwydd yn ymddangos gan ddechrau gyda Xorg 6.8.0 (2004)
  • CVE-2025-26600 - Mynediad i gof sydd eisoes wedi'i ryddhau yn PlayReleasedEvents() wrth adfer dyfais grog sydd â digwyddiadau heb eu prosesu. Mae'r bregusrwydd wedi bod yn bresennol ers X11R5 (1991).
  • CVE-2025-26601 - Mynediad i gof sydd eisoes wedi'i ryddhau yn swyddogaeth SyncInitTrigger (). Mae'r bregusrwydd wedi bod yn bresennol ers X11R6 (1994).

Ffynhonnell: opennet.ru

Ychwanegu sylw