ProHoster > blog > aħbarijiet fuq l-internet > X.Org Server 21.1.11 aġġornament b'6 vulnerabbiltajiet iffissati

X.Org Server 21.1.11 aġġornament b'6 vulnerabbiltajiet iffissati

Ġew ippubblikati rilaxxi korrettivi ta 'X.Org Server 21.1.11 u komponent DDX (Device-Dependent X) xwayland 23.2.4, li jiżgura t-tnedija ta' X.Org Server għall-organizzazzjoni tal-eżekuzzjoni ta 'applikazzjonijiet X11 f'ambjenti bbażati fuq Wayland. Il-verżjonijiet il-ġodda jiffissaw vulnerabbiltajiet 6, li wħud minnhom jistgħu jiġu sfruttati għal eskalazzjoni ta 'privileġġ fuq sistemi fejn is-server X qed jaħdem bħala għerq, kif ukoll għall-eżekuzzjoni remota tal-kodiċi f'konfigurazzjonijiet li jużaw direzzjoni mill-ġdid tas-sessjoni X11 permezz ta' SSH għall-aċċess.

Kwistjonijiet identifikati:

  • CVE-2023-6816 - Buffer overflow iseħħ meta jiġi mgħoddi indiċi ta' firxa mhux korrett fl-operazzjonijiet DeviceFocusEvent u ProcXIQueryPointer. Il-vulnerabbiltà hija kkawżata mill-fatt li s-server X jalloka memorja tal-firxa bbażata fuq in-numru attwali ta 'buttuni, filwaqt li t-talba tippermetti valuri sa 255 fl-array. Il-problema ilha evidenti mir-rilaxx ta' xorg-server-1.13.0. .2012 (XNUMX).
  • CVE-2024-0229 Buffer 'il barra mill-limiti jikteb permezz ta' rebinding ma' apparat prinċipali ieħor f'konfigurazzjoni li fiha l-apparat ikun it-tnejn mgħammar b'elementi ta' input tal-klassi "buttuna" u "ċavetta" (ċavetta), u n-numru ta' buttuni (parametru numButtons) huwa ssettjat għal 0. Il-problema ilha tidher mir-rilaxx ta 'xorg-server-1.1.1 (2006).
  • CVE-2024-21885 - Buffer overflow fil-funzjoni XISendDeviceHierarchyEvent iseħħ meta apparat b'ID partikolari jitneħħa u apparat bl-istess ID jiżdied fl-istess talba. Il-vulnerabbiltà hija kkawżata mill-fatt li waqt operazzjoni doppja għal identifikatur wieħed, żewġ istanzi tal-istruttura xXIHierarchyInfo jinkitbu f'daqqa, filwaqt li l-funzjoni XISendDeviceHierarchyEvent talloka memorja għal istanza waħda. Il-problema ilha tidher mir-rilaxx ta 'xorg-server-1.10.0 (2010).
  • CVE-2024-21886 - Buffer overflow fil-funzjoni DisableDevice li sseħħ meta apparat prinċipali jiġi diżattivat filwaqt li apparati slave jkunu diġà diżattivati. Il-vulnerabbiltà hija kkawżata minn kalkolu żbaljat tad-daqs tal-istruttura għall-ħażna tal-lista ta 'apparati. Il-problema ilha tidher mir-rilaxx ta 'xorg-server-1.13.0 (2012).
  • CVE-2024-0409, CVE-2024-0408 – Korruzzjoni tal-kuntest SELinux meta tkun attivata xserver_object_manager u tmexxi l-klijent jew toħloq GLX PBuffer.

Sors: opennet.ru

Żid kumment