Se han publicado versiones correctivas de X.Org Server 21.1.14 y el componente DDX (Device-Dependent X) xwayland 24.1.4, lo que garantiza el lanzamiento de X.Org Server para organizar la ejecución de aplicaciones X11 en entornos basados en Wayland. Las nuevas versiones abordan una vulnerabilidad (CVE-2024-9632) que puede explotarse para escalar privilegios en sistemas donde el servidor X se ejecuta como root, así como para la ejecución remota de código en configuraciones donde se usa la redirección de sesión X11 para el acceso mediante SSH. .
El problema se debe a un desbordamiento del búfer en la función _XkbSetCompatMap(), que ocurre cuando se intenta cambiar el tamaño del búfer sym_interpret mientras se procesa un mapa de bits con formato especial. Debido a un error al configurar un nuevo tamaño, el cambio solo cambió el valor num_si, pero dejó el valor size_si sin cambios. El problema ha estado presente desde el lanzamiento de xorg-server-1.1.1, publicado en 2006.
Fuente: opennet.ru
