ProHoster > Blog > talafou initaneti > Fa'aletonu i faletusi X.Org, e lua na iai talu mai le 1988

Fa'aletonu i faletusi X.Org, e lua na iai talu mai le 1988

Ua tu'uina atu fa'amatalaga e uiga i fa'afitauli e lima i totonu o faletusi libX11 ma libXpm na atia'e e le poloketi X.Org. O mataupu na foia i le libXpm 3.5.17 ma le libX11 1.8.7 faʻasalalauga. E tolu faʻafitauli ua faʻaalia i totonu o le faletusi libx11, lea e ofoina atu galuega faʻatasi ma le faʻatinoina o le kalani o le X11 protocol:

  • CVE-2023-43785 - O loʻo tafe mai le paʻu i le libX11 code pe a faʻagasolo se tali mai le X server ma le tele o mataitusi e le fetaui ma le talosaga XkbGetMap na lafoina muamua. O le fa'aletonu e mafua mai i se pusa i le X11R6.1 lea na i ai talu mai le 1996. E mafai ona faʻaaogaina le faʻafitauli pe a fesoʻotaʻi se talosaga e faʻaaoga ai le libx11 i se X server leaga poʻo se sui e pulea e le osofaʻiga.
  • CVE-2023-43786 - Faʻaputu le vaivai ona o le toe faʻafoʻisia e le gata i le PutSubImage () galuega i le libX11, lea e tupu pe a faʻapipiʻiina faʻamaumauga faʻapitoa i le XPM format. O le faʻafitauli na i ai talu mai le tatalaina o le X11R2 ia Fepuari 1988.
  • CVE-2023-43787 O se integer overflow i le XCreateImage() galuega i le libX11 e oʻo atu ai i le faʻaputuga o faʻaputuga ona o se mea sese i le fuafuaina o le tele e le fetaui ma le tele moni o faʻamaumauga. O le faʻafitauli XCreateImage() galuega e valaʻau mai le XpmReadFileToPixmap() galuega, lea e faʻatagaina ai le faʻaogaina o se faʻafitauli pe a faʻaogaina se faila faʻapitoa i le XPM format. Ua iai fo'i le fa'aletonu talu mai le X11R2 (1988).

E le gata i lea, e lua faʻafitauli na faʻaalia i totonu o le faletusi libXpm (CVE-2023-43788 ma CVE-2023-43789), e mafua mai i le mafai ona faitau mai vaega i fafo atu o tuaoi o le manatua. Faʻafitauli e tupu pe a faʻapipiʻiina se faʻamatalaga mai se paʻu i le manatua ma le faʻaogaina o se faila XPM ma se faʻafanua lanu sese. O fa'aletonu uma e lua na amata mai i le 1998 ma na maua e ala i le fa'aogaina o le fa'aogaina o mea sese o le manatua ma meafaigaluega su'esu'e fa'afefe AddressSanitizer ma libFuzzer.

X.org o loʻo i ai faʻafitauli o le saogalemu faʻasolopito, e pei o le sefulu tausaga talu ai, i le 30th Chaos Communication Congress (CCC), o se faʻaaliga a le tagata suʻesuʻe saogalemu Ilja van Sprundel na tuʻuina atu le afa o le faʻaaliga i faʻafitauli i le X.Org server, ma le isi afa afa o le saogalemu o faletusi X11 tagata fa'atau. O le lipoti a Ilya, lea i le 2013 na faʻaalia ai le 30 faʻafitauli e aʻafia ai faletusi X11 tagata faʻatau, faʻapea foʻi ma Mesa's DRI vaega, na aofia ai faʻamatalaga faʻalagona e pei o le "GLX o se faʻalavelave mataʻutia! 80 laina o le mataʻu mama! ma "Ua ou mauaina 000 mea sese i totonu i le lua masina talu ai, ma ou te leʻi maeʻa siaki."

puna: opennet.ru

Faaopoopo i ai se faamatalaga