Kaluaran corrective of X.Org Server 21.1.17 jeung DDX (Device-Dependent X) komponén xwayland 24.1.7 geus diterbitkeun, nu ensures peluncuran X.Org Server pikeun ngatur palaksanaan aplikasi X11 di lingkungan basis Wayland. Versi anyar X.Org Server ngalereskeun 6 kerentanan. Masalahna berpotensi dieksploitasi pikeun ningkatkeun hak istimewa dina sistem dimana server X dijalankeun salaku akar, sareng ngaéksekusi kode jarak jauh dina konfigurasi dimana diteruskeun sési X11 dianggo pikeun aksés via SSH.
Kerentanan anu diidentifikasi:
- CVE-2025-49176 - Overflow integer ngarah kana korupsi memori aya dina palaksanaan extension Big Requests, anu ngamungkinkeun ngirim requests leuwih badag batan 64 kilobyte. Kerentanan parantos aya saprak sékrési X11R6.0 (1994).
- CVE-2025-49179 - Overflow integer ngarah kana korupsi memori aya dina palaksanaan extension X Rékam nalika ngirim badag teuing jumlah klien atawa rentang. Kerentanan parantos aya ti saprak X11R6.1 (1996).
- CVE-2025-49180 mangrupa ngabahekeun integer ngarah kana korupsi memori dina palaksanaan extension RandR. Kerentanan mucunghul saprak release 1.13 RC1 (2012).
- CVE-2025-49178 - Kamungkinan nyieun kaayaan ngarah ka blocking requests ti klien sejenna. Kerentanan manifests sorangan saprak sékrési Xorg 1.10.0
- CVE-2025-49175 - Out-of-bounds dibaca dina extension X Rendering nalika ngajalankeun operasi dina kursor animasi. Kerentanan parantos aya ti saprak XFree86 4.3.0 (2003).
- CVE-2025-49177 - Leakage data dina palaksanaan extension XFIXES disababkeun ku kurangna mariksa ukuran pamundut klien dina panangan XFixesSetClientDisconnectMode (klien bisa ngirim pamundut pondok tur maca data tina pamundut saméméhna. Kerentanan manifests sorangan saprak sékrési Xorg Server 21.1 RC1 (2021).
Update: Panas dina heels release ieu, X.Org Server 21.1.18 na xwayland 24.1.8 geus dileupaskeun, nu ngawengku parobahan tambahan pikeun ngalereskeun kerentanan CVE-2025-49176.
sumber: opennet.ru
