Оновлення X.Org Server 21.1.22 з усуненням 5 уразливостей

Опубліковано коригувальні випуски X.Org Server 21.1.22 та DDX-компонента (Device-Dependent X) xwayland 24.1.10, що забезпечує запуск X.Org Server для організації виконання X11-додатків в оточеннях на базі Wayland. У нових версіях усунуто 5 вразливостей. Деякі вразливості потенційно можуть бути експлуатовані для підвищення привілеїв у системах, у яких X-сервер виконується з правами root, а також для віддаленого виконання коду в конфігураціях, в яких для доступу використовується перенаправлення сеансу X11 за допомогою SSH.

Виправлені вразливості:

  • CVE-2026-34001 — звернення до пам'яті після її звільнення (Use-after-free) функції miSyncTriggerFence(). Вразливість проявляється з випуску xorg-server 1.9.0 (2010).
  • CVE-2026-33999 — цілечисленне переповнення через нижню межу (underflow) до функцій XkbSetCompatMap(), що призводить до читання даних з області поза буфером при обробці спеціально оформлених запитів. Вразливість проявляється з випуску X11R6.6 (2001).
  • CVE-2026-34000 - читання з області поза буфером у функції XkbAddGeomKeyAlias, викликана відсутністю перевірки відповідності розміру переданої назви клавіші з виділеним буфером. Вразливість проявляється з випусків xorg-server 21.1.4 та xwayland 22.1.3 (2022 рік).
  • CVE-2026-34002 — читання з області поза буфером у функції CheckModifierMap() через відсутність перевірки відповідності числа вказаних у запиті клавіш із фактичним числом переданих параметрів. Вразливість проявляється з випуску X11R6.6 (2001).
  • CVE-2026-34003 - переповнення буфера в XKB-функції CheckKeyTypes(), що призводить до читання даних з області поза буфером через відсутність перевірки відповідності розміру буфера переданим у запиті даним. Вразливість проявляється з випуску X11R6.6 (2001).

Джерело: opennet.ru

Купити надійний хостинг для сайтів із захистом від DDoS, VPS VDS сервери 🔥 Купити надійний хостинг для сайтів із захистом від DDoS, VPS VDS сервери | ProHoster