Chaidh foillseachadh ceartachaidh den leabharlann libXpm 3.5.15 a chaidh a leasachadh leis a’ phròiseact X.Org agus a chaidh a chleachdadh gus faidhlichean a phròiseasadh ann an cruth XPM fhoillseachadh. Bidh an dreach ùr a’ socrachadh trì so-leòntachd, le dhà dhiubh (CVE-2022-46285, CVE-2022-44617) a’ leantainn gu lùb nuair a bhios iad a’ giullachd fhaidhlichean XPM a chaidh a dhealbhadh gu sònraichte. Tha an treas so-leòntachd (CVE-2022-4883) a’ ceadachadh òrdughan neo-riaghailteach a ruith nuair a thathar a’ cur an gnìomh thagraidhean a chleachdas libXpm. Nuair a bhios tu a’ ruith pròiseasan sochair co-cheangailte ri libXpm, leithid prògraman leis a’ bhratach freumh suid, tha an so-leòntachd ga dhèanamh comasach na sochairean aca àrdachadh.
Tha an so-leòntachd air adhbhrachadh le feart de dh’ obair libXpm le faidhlichean XPM teannaichte - nuair a bhios tu a’ giullachd fhaidhlichean XPM.Z no XPM.gz, bidh an leabharlann, a’ cleachdadh a’ ghairm execlp(), a’ cur air bhog goireasan dì-phacadh taobh a-muigh (uncompress no gunzip), an t-slighe gu air a thomhas a rèir caochladair àrainneachd PATH. Tha an ionnsaigh an urra ri bhith a’ cur ann an eòlaire ruigsinneach don neach-cleachdaidh a tha an làthair air an liosta PATH, sealbhaich faidhlichean so-ghnìomhaichte neo-dhùmhlaichte no gunzip, a thèid a chuir gu bàs ma thèid tagradh a’ cleachdadh libXpm a chuir air bhog.
Chaidh an so-leòntachd a shuidheachadh le bhith a’ cur execl an àite a’ ghairm execlp a’ cleachdadh slighean iomlan gu goireasan. A bharrachd air an sin, chaidh an roghainn togail “-disable-open-zfile” a chuir ris, a leigeas leat giullachd fhaidhlichean teann a dhì-cheadachadh agus goireasan taobh a-muigh a ghairm airson an dì-phapadh.
Source: fosgailtenet.ru