X.Org Server 21.1.9 және DDX компонентінің (құрылғыға тәуелді X) xwayland 22.2.2 түзеткіш шығарылымдары жарияланды, бұл Wayland негізіндегі орталарда X11 қолданбаларының орындалуын ұйымдастыру үшін X.Org серверін іске қосуды қамтамасыз етеді. Жаңа нұсқалар X серверін түбір ретінде іске қосатын жүйелерде артықшылықты арттыру үшін, сондай-ақ кіру үшін SSH арқылы X11 сеансын қайта бағыттауды пайдаланатын конфигурацияларда қашықтан кодты орындау үшін пайдаланылуы мүмкін осалдықтарды қарастырады.
Анықталған мәселелер:
- CVE-2023-5367 - XIChangeDeviceProperty және RRChangeOutputProperty функцияларындағы буфердің толып кетуі, оны енгізу құрылғысының сипатына немесе randr сипатына қосымша элементтерді қосу арқылы пайдалануға болады. Осалдық xorg-server 1.4.0 (2007) шығарылымынан бері бар және бар сипаттарға қосымша элементтерді тіркеген кезде қате ығысуды есептеу нәтижесінде туындады, бұл элементтердің қате ығысуда қосылуына әкеліп соғады, нәтижесінде жазбаша болады. бөлінген буферден тыс жад аймағына. Мысалы, бұрыннан бар 3 элементке 5 элемент қоссаңыз, жад 8 элементтен тұратын массив үшін бөлінеді, бірақ бұрын бар элементтер 5 емес, 3 индексінен басталатын жаңа массивте сақталады, бұл соңғы екі элементті тудырады. шектен тыс жазылуы керек.
- CVE-2023-5380 – DestroyWindow функциясында бос жадты пайдалану рұқсаты. Әр монитор өз экранын жасайтын zaphod режимінде көп монитор конфигурацияларындағы экрандар арасында көрсеткішті жылжыту және клиент терезесін жабу функциясын шақыру арқылы мәселені пайдалануға болады. Осалдық xorg-server 1.7.0 (2009) шығарылымынан бері пайда болды және терезені жауып, онымен байланысты жадты босатқаннан кейін алдыңғы терезеге белсенді көрсеткіш экранды қамтамасыз ететін құрылымда қалуынан туындады. байланыстыру. Xwayland осы осалдыққа әсер етпейді.
- CVE-2023-5574 – DamageDestroy функциясында бос жадты пайдалану рұқсаты. Xvfb серверінде осалдықты серверді өшіру немесе соңғы клиентті ажырату кезінде ScreenRec құрылымын тазалау процесі кезінде пайдалануға болады. Алдыңғы осалдық сияқты, мәселе тек Zaphod режимінде көп монитор конфигурацияларында пайда болады. Осалдық xorg-server-1.13.0 (2012) шығарылымынан бері бар және түзетілмеген күйінде қалады (тек патч түрінде бекітілген).
Осалдықтарды жоюмен қатар, xwayland 23.2.2 libbsd-қабатты кітапханасынан libbsd-ге ауысты және XTest оқиғаларын композиттік серверге жіберу үшін пайдаланылатын ұяны анықтау үшін RemoteDesktop XDG Desktop Portal интерфейсіне автоматты түрде қосылуды тоқтатты. Автоматты қосылым кірістірілген құрама серверде Xwayland іске қосқан кезде ақаулар тудырды, сондықтан жаңа нұсқада порталға қосылу үшін «-enable-ei-portal» опциясы анық көрсетілуі керек.
Ақпарат көзі: opennet.ru