ProHoster > ะ‘ะปะพะณ > เบ‚เปˆเบฒเบงโ€‹เบญเบดเบ™โ€‹เป€เบ•เบตโ€‹เป€เบ™เบฑเบ”โ€‹ > เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบขเบนเปˆเปƒเบ™เบซเป‰เบญเบ‡เบชเบฐเปเบธเบ” X.Org, เบชเบญเบ‡เบญเบฑเบ™เบกเบตเบขเบนเปˆเบ•เบฑเป‰เบ‡เปเบ•เปˆเบ›เบต 1988

เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบขเบนเปˆเปƒเบ™เบซเป‰เบญเบ‡เบชเบฐเปเบธเบ” X.Org, เบชเบญเบ‡เบญเบฑเบ™เบกเบตเบขเบนเปˆเบ•เบฑเป‰เบ‡เปเบ•เปˆเบ›เบต 1988

เบ‚เปเป‰เบกเบนเบ™เป„เบ”เป‰เบ–เบทเบเป€เบ›เบตเบ”เป€เบœเบตเบเบเปˆเบฝเบงเบเบฑเบšเบซเป‰เบฒเบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบขเบนเปˆเปƒเบ™เบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ” libX11 เปเบฅเบฐ libXpm เบ—เบตเปˆเบžเบฑเบ”เบ—เบฐเบ™เบฒเป‚เบ”เบเป‚เบ„เบ‡เบเบฒเบ™ X.Org. เบšเบฑเบ™เบซเบฒเป„เบ”เป‰เบ–เบทเบเปเบเป‰เป„เบ‚เปƒเบ™เบเบฒเบ™เบ›เปˆเบญเบ libXpm 3.5.17 เปเบฅเบฐ libX11 1.8.7. เบชเบฒเบกเบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเป„เบ”เป‰เบ–เบทเบเบฅเบฐเบšเบธเป„เบงเป‰เปƒเบ™เบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ” libx11, เป€เบŠเบดเปˆเบ‡เบชเบฐเบซเบ™เบญเบ‡เบซเบ™เป‰เบฒเบ—เบตเปˆเบ—เบตเปˆเบกเบตเบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบฅเบนเบเบ„เป‰เบฒเบ‚เบญเบ‡เป‚เบ›เป‚เบ•เบ„เบญเบ™ X11:

  • CVE-2023-43785 - buffer overflow เปƒเบ™เบฅเบฐเบซเบฑเบ” libX11 เป€เบเบตเบ”เบ‚เบถเป‰เบ™เป€เบกเบทเปˆเบญเบ›เบฐเบกเบงเบ™เบœเบปเบ™เบเบฒเบ™เบ•เบญเบšเบชเบฐเปœเบญเบ‡เบˆเบฒเบเป€เบŠเบตเบšเป€เบงเบต X เบ—เบตเปˆเบกเบตเบ•เบปเบงเบญเบฑเบเบชเบญเบ™เบˆเบณเบ™เบงเบ™เปœเบถเปˆเบ‡เบ—เบตเปˆเบšเปเปˆเบเบปเบ‡เบเบฑเบšเบ„เบณเบฎเป‰เบญเบ‡เบ‚เป XkbGetMap เบ—เบตเปˆเบชเบปเปˆเบ‡เป„เบ›เบเปˆเบญเบ™เปœเป‰เบฒเบ™เบตเป‰. เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปเบกเปˆเบ™เป€เบเบตเบ”เบกเบฒเบˆเบฒเบ bug เปƒเบ™ X11R6.1 เบ—เบตเปˆเบกเบตเบกเบฒเบ•เบฑเป‰เบ‡เปเบ•เปˆเบ›เบต 1996. เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบชเบฒเบกเบฒเบ”เบ–เบทเบเบ‚เบนเบ”เบฎเบตเบ”เป€เบกเบทเปˆเบญเปเบญเบฑเบšเบžเบฅเบดเป€เบ„เบŠเบฑเบ™เบ—เบตเปˆเปƒเบŠเป‰ libx11 เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเบเบฑเบšเป€เบŠเบตเบšเป€เบงเบต X เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบ เบซเบผเบทเบžเบฃเบฑเบญเบเบŠเบตเบฅเบฐเบ”เบฑเบšเบ›เบฒเบ™เบเบฒเบ‡เบ—เบตเปˆเบ„เบงเบšเบ„เบธเบกเป‚เบ”เบเบœเบนเป‰เป‚เบˆเบกเบ•เบต.
  • CVE-2023-43786 - Stack เบซเบกเบปเบ”เบเป‰เบญเบ™เบเบฒเบ™เป€เบเบตเบ”เบŠเป‰เบณเบ—เบตเปˆเบšเปเปˆเบกเบตเบ‚เบญเบšเป€เบ‚เบ”เปƒเบ™เบŸเบฑเบ‡เบŠเบฑเบ™ PutSubImage() เปƒเบ™ libX11, เป€เบŠเบดเปˆเบ‡เป€เบเบตเบ”เบ‚เบถเป‰เบ™เป€เบกเบทเปˆเบญเบ›เบฐเบกเบงเบ™เบœเบปเบ™เบ‚เปเป‰เบกเบนเบ™เบ—เบตเปˆเบกเบตเบฎเบนเบšเปเบšเบšเบžเบดเป€เบชเบ”เปƒเบ™เบฎเบนเบšเปเบšเบš XPM. เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ”เบฑเปˆเบ‡เบเปˆเบฒเบงเบกเบตเบขเบนเปˆเบ•เบฑเป‰เบ‡เปเบ•เปˆเบเบฒเบ™เบ›เปˆเบญเบ X11R2 เปƒเบ™เป€เบ”เบทเบญเบ™เบเบธเบกเบžเบฒ 1988.
  • CVE-2023-43787 integer overflow เปƒเบ™เบŸเบฑเบ‡เบŠเบฑเบ™ XCreateImage() เปƒเบ™ libX11 เบ™เปเบฒเป„เบ›เบชเบนเปˆ heap overflow เป€เบ™เบทเปˆเบญเบ‡เบˆเบฒเบเบ„เบงเบฒเบกเบœเบดเบ”เบžเบฒเบ”เปƒเบ™เบเบฒเบ™เบ„เปเบฒเบ™เบงเบ™เบ‚เบฐเบซเบ™เบฒเบ”เบ—เบตเปˆเบšเปเปˆเบเบปเบ‡เบเบฑเบšเบ‚เบฐเบซเบ™เบฒเบ”เบ•เบปเบงเบˆเบดเบ‡เบ‚เบญเบ‡เบ‚เปเป‰เบกเบนเบ™. เบŸเบฑเบ‡เบŠเบฑเบ™ XCreateImage() เบ—เบตเปˆเป€เบ›เบฑเบ™เบšเบฑเบ™เบซเบฒเบ–เบทเบเป€เบญเบตเป‰เบ™เบˆเบฒเบเบŸเบฑเบ‡เบŠเบฑเบ™ XpmReadFileToPixmap() เป€เบŠเบดเปˆเบ‡เบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เบกเบตเบเบฒเบ™เบ‚เบนเบ”เบฎเบตเบ”เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปƒเบ™เป€เบงเบฅเบฒเบ›เบฐเบกเบงเบ™เบœเบปเบ™เป„เบŸเบฅเปŒเบ—เบตเปˆเบญเบญเบเปเบšเบšเบชเบฐเป€เบžเบฒเบฐเปƒเบ™เบฎเบนเบšเปเบšเบš XPM. เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบเบฑเบ‡เบกเบตเบขเบนเปˆเบ•เบฑเป‰เบ‡เปเบ•เปˆ X11R2 (1988).

เบ™เบญเบเบˆเบฒเบเบ™เบฑเป‰เบ™, เบชเบญเบ‡เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเป„เบ”เป‰เบ–เบทเบเป€เบ›เบตเบ”เป€เบœเบตเบเบขเบนเปˆเปƒเบ™เบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ” libXpm (CVE-2023-43788 เปเบฅเบฐ CVE-2023-43789), เบ—เบตเปˆเป€เบเบตเบ”เบˆเบฒเบเบ„เบงเบฒเบกเบชเบฒเบกเบฒเบ”เปƒเบ™เบเบฒเบ™เบญเปˆเบฒเบ™เบˆเบฒเบเบžเบทเป‰เบ™เบ—เบตเปˆเบ™เบญเบเบ‚เบญเบšเป€เบ‚เบ”เบ‚เบญเบ‡เบซเบ™เปˆเบงเบเบ„เบงเบฒเบกเบˆเปเบฒเบ—เบตเปˆเบ–เบทเบเบˆเบฑเบ”เบชเบฑเบ™. เบšเบฑเบ™เบซเบฒเป€เบเบตเบ”เบ‚เบถเป‰เบ™เปƒเบ™เป€เบงเบฅเบฒเบ—เบตเปˆเป‚เบซเบฅเบ”เบ„เปเบฒเบ„เบดเบ”เป€เบซเบฑเบ™เบˆเบฒเบ buffer เปƒเบ™เบซเบ™เปˆเบงเบเบ„เบงเบฒเบกเบˆเปเบฒเปเบฅเบฐเบเบฒเบ™เบ›เบฐเบกเบงเบ™เบœเบปเบ™เป„เบŸเบฅเปŒ XPM เบ—เบตเปˆเบกเบตเปเบœเบ™เบ—เบตเปˆเบชเบตเบ—เบตเปˆเบšเปเปˆเบ–เบทเบเบ•เป‰เบญเบ‡. เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ—เบฑเบ‡เบชเบญเบ‡เบกเบตเบ•เบฑเป‰เบ‡เปเบ•เปˆเบ›เบต 1998 เปเบฅเบฐเป„เบ”เป‰เบ–เบทเบเบžเบปเบšเป€เบซเบฑเบ™เป‚เบ”เบเบœเปˆเบฒเบ™เบเบฒเบ™เบ™เปเบฒเปƒเบŠเป‰เบเบฒเบ™เบเบงเบ”เบชเบญเบšเบ„เบงเบฒเบกเบœเบดเบ”เบžเบฒเบ”เบ‚เบญเบ‡เบซเบ™เปˆเบงเบเบ„เบงเบฒเบกเบˆเปเบฒเปเบฅเบฐเป€เบ„เบทเปˆเบญเบ‡เบกเบทเบเบฒเบ™เบ—เบปเบ”เบชเบญเบš fuzzing AddressSanitizer เปเบฅเบฐ libFuzzer.

X.org เบกเบตเบšเบฑเบ™เบซเบฒเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบžเบ—เบฒเบ‡เบ›เบฐเบซเบงเบฑเบ”เบชเบฒเบ”, เป€เบŠเบฑเปˆเบ™เบงเปˆเบฒเบชเบดเบšเบ›เบตเบ—เบตเปˆเบœเปˆเบฒเบ™เบกเบฒ, เปƒเบ™เบเบญเบ‡เบ›เบฐเบŠเบธเบก Chaos Communication Congress (CCC) เบ„เบฑเป‰เบ‡เบ—เบต 30, เบเบฒเบ™เบ™เปเบฒเบชเบฐเป€เบซเบ™เบตเป‚เบ”เบเบ™เบฑเบเบ„เบปเป‰เบ™เบ„เบงเป‰เบฒเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž Ilja van Sprundel เป„เบ”เป‰เบญเบธเบ—เบดเบ”เป€เบ„เบดเปˆเบ‡เบซเบ™เบถเปˆเบ‡เบ‚เบญเบ‡เบเบฒเบ™เบ™เปเบฒเบชเบฐเป€เบซเบ™เบตเปƒเบซเป‰เบเบฑเบšเบšเบฑเบ™เบซเบฒเปƒเบ™เป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบ X.Org, เปเบฅเบฐเบญเบตเบเป€เบ„เบดเปˆเบ‡เบซเบ™เบถเปˆเบ‡. เป€เบ„เบดเปˆเบ‡เบซเบ™เบถเปˆเบ‡เบ‚เบญเบ‡เบ„เบงเบฒเบกเบ›เบญเบ”เป„เบžเบ‚เบญเบ‡เบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ”เบฅเบนเบเบ„เป‰เบฒ X11. เบšเบปเบ”เบฅเบฒเบเบ‡เบฒเบ™เบ‚เบญเบ‡ Ilya, เป€เบŠเบดเปˆเบ‡เปƒเบ™เบ›เบต 2013 เป„เบ”เป‰เบเปเบฒเบ™เบปเบ” 30 เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ—เบตเปˆเบชเบปเปˆเบ‡เบœเบปเบ™เบเบฐเบ—เบปเบšเบ•เปเปˆเบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ”เบฅเบนเบเบ„เป‰เบฒ X11 เบ•เปˆเบฒเบ‡เป†, เป€เบŠเบฑเปˆเบ™เบ”เบฝเบงเบเบฑเบ™เบเบฑเบšเบญเบปเบ‡เบ›เบฐเบเบญเบš DRI เบ‚เบญเบ‡ Mesa, เป„เบ”เป‰เบฅเบงเบกเป€เบญเบปเบฒเบ„เปเบฒเป€เบงเบปเป‰เบฒเบ—เบตเปˆเบกเบตเบ„เบงเบฒเบกเบฎเบนเป‰เบชเบถเบเป€เบŠเบฑเปˆเบ™: "GLX เป€เบ›เบฑเบ™เบ•เบปเบงเบเบฐเบ•เบธเป‰เบ™เบ—เบตเปˆเบฎเป‰เบฒเบเปเบฎเบ‡! 80 เบชเบฒเบเบ‚เบญเบ‡ horror เบญเบฑเบ™เบšเปเบฅเบดเบชเบธเบ”! เปเบฅเบฐ "เบ‚เป‰เบญเบเป„เบ”เป‰เบžเบปเบšเป€เบซเบฑเบ™ 000 เปเบกเบ‡เป„เบกเป‰เปƒเบ™เบกเบฑเบ™เปƒเบ™เบชเบญเบ‡เบชเบฒเบกเป€เบ”เบทเบญเบ™เบœเปˆเบฒเบ™เบกเบฒ, เปเบฅเบฐเบ‚เป‰เบญเบเบเบฑเบ‡เบšเปเปˆเป„เบ”เป‰เบเบงเบ”เบชเบญเบšเบกเบฑเบ™เปเบฅเป‰เบง."

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: opennet.ru

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™