Linuxeden开源社区
XOrg Server 和 Xwayland 显示器实现已针对多个安全漏洞进行了修补,这些漏洞可能导致堆溢出、越界写入或本地权限升级。
今天发布了新的 X.Org 安全公告,警告用户注意在 xorg-server v1.13.0 (2012 年发布)中引入的堆缓冲区溢出问题 CVE-2023-6816、在 xorg-server v1.1.1 (2006 年发布)中引入的越界内存访问问题 CVE-2024-0229,以及在 xorg-server v1.10.0 (2011 年发布)中引入的堆缓冲区溢出问题 CVE-2024-21885。
此外,新安全公告还警告用户注意在 xorg-server v1.13.0(2012 年发布)中引入的另一个堆缓冲区溢出问题 CVE-2024-21886、在 xorg-server v1.16.0(2014 年发布)中引入的 SELinux 上下文损坏问题 CVE-2024-0409,以及在 xorg-server v1.10.0(2011 年发布)中引入的 SELinux 未标记 GLX PBuffer 问题 CVE-2024-0408。
CVE-2023-6816、CVE-2024-0229、CVE-2024-21885 和 CVE-2024-21886 漏洞由趋势科技零日计划的 Jan-Niklas Sohn 发现,CVE-2024-0409 由 Olivier Fourdan 发现,CVE-2024-0408 由 Olivier Fourdan 和 Donn Seeley 发现。
所有这些安全漏洞现已在 xorg-server v21.1.11 和 xwayland v23.2.4 中得到修补。这些新版本很快就会进入你最喜欢的 GNU/Linux 发行版的稳定软件仓库,所以在它们发布后尽快更新你的安装是明智之举。
除了修补这些漏洞,xorg-server v21.1.11 版本还修复了 XRandR 的一个问题,允许在一个物理显示器上安装多个虚拟显示器。另一方面,xwayland v23.2.4 还包含对 glamor、libEI 支持和 FreeBSD 系统的其他一些修复。
这再次表明,在 2024 年,X 服务器仍有许多安全漏洞未打补丁,因此强烈建议改用 Wayland。如果 Linux 发行版的维护者至今仍未在其系统中默认切换到 Wayland,也建议他们为 X 服务器打上补丁。
即使你的发行版默认使用的是 Wayland,为了与 X11 应用程序兼容,Xwayland 实现可能仍在使用,因此你仍需要给系统打补丁,确保安装的是最新版本。
图片来源XOrg 基金会
转自 XOrg Server and Xwayland Patched Against Multiple Security Vulnerabilities – 9to5Linux