Разработчики X.Org сообщили о восьми критических уязвимостях в X.Org X server и Xwayland, включая использование памяти после освобождения (use-after-free), переполнение буфера и запись за границы памяти. Для устранения проблем выпущены обновления xorg-server 21.1.16 и xwayland 24.1.6.
X.Org X server — это дисплейный сервер, реализующий протокол X11. Он отвечает за графический вывод в UNIX-подобных системах, управляет вводом с клавиатуры и мыши, а также взаимодействует с драйверами видеокарт. Используется в большинстве традиционных графических окружений Linux.
Xwayland — это совместимый слой, позволяющий X11-приложениям работать в среде Wayland. Он обеспечивает поддержку старых программ, не адаптированных для Wayland, интегрируясь с современными композиторами, такими как Mutter и KWin, без необходимости запускать отдельный X-сервер.
Детали уязвимостей
Информация о новых уязвимостях была опубликована в официальном объявлении от разработчика Оливье Фурдана (Olivier Fourdan) 25 февраля 2025 года. Найденные проблемы могут привести к сбоям работы X-сервера, компрометации системы и потенциальному выполнению произвольного кода.
Список уязвимостей:
- CVE-2025-26594: Use-after-free при обработке корневого курсора.
- CVE-2025-26595: Переполнение буфера в XkbVModMaskText().
- CVE-2025-26596: Переполнение кучи в XkbWriteKeySyms().
- CVE-2025-26597: Переполнение буфера в XkbChangeTypesOfKey().
- CVE-2025-26598: Запись за границы памяти в CreatePointerBarrierClient().
- CVE-2025-26599: Использование неинициализированного указателя в compRedirectWindow().
- CVE-2025-26600: Use-after-free в PlayReleasedEvents().
- CVE-2025-26601: Use-after-free в SyncInitTrigger().
Что делать?
Разработчики X.Org уже исправили проблемы, и теперь остаётся дождаться, когда обновления xorg-server 21.1.16 и xwayland 24.1.6 появятся в репозиториях различных дистрибутивов. Чтобы обеспечить безопасность системы, рекомендуется:
- Проверить наличие обновлений пакетов xorg-server и xwayland.
- Обновить систему через пакетный менеджер:
sudo apt update && sudo apt upgrade(Debian, Ubuntu) илиsudo dnf upgrade(Fedora). - Перезагрузить систему после установки обновлений.
Следите за обновлениями вашего дистрибутива и своевременно устанавливайте исправления, чтобы минимизировать риски атак.
Linux: обзоры и обновления
• Valve готовится выпустить VR-гарнитуру на базе SteamOS с поддержкой автономного гейминга
• В X.Org X server и Xwayland обнаружены 8 новых уязвимостей. Обновите системы
• KDE Plasma 6.3.2: исправления ошибок в Discover и KWin
• Steam Deck исполнилось три года: Как Valve изменила рынок портативных игровых ПК
• SteamOS 3.6.22 для Steam Deck исправляет загрузку шейдеров
• Обновления Linux за неделю: 17 – 23 февраля 2025 года