Разработчики X.Org сообщили о восьми критических уязвимостях в X.Org X server и Xwayland, включая использование памяти после освобождения (use-after-free), переполнение буфера и запись за границы памяти. Для устранения проблем выпущены обновления xorg-server 21.1.16 и xwayland 24.1.6.
X.Org X server — это дисплейный сервер, реализующий протокол X11. Он отвечает за графический вывод в UNIX-подобных системах, управляет вводом с клавиатуры и мыши, а также взаимодействует с драйверами видеокарт. Используется в большинстве традиционных графических окружений Linux.
Xwayland — это совместимый слой, позволяющий X11-приложениям работать в среде Wayland. Он обеспечивает поддержку старых программ, не адаптированных для Wayland, интегрируясь с современными композиторами, такими как Mutter и KWin, без необходимости запускать отдельный X-сервер.
Детали уязвимостей
Информация о новых уязвимостях была опубликована в официальном объявлении от разработчика Оливье Фурдана (Olivier Fourdan) 25 февраля 2025 года. Найденные проблемы могут привести к сбоям работы X-сервера, компрометации системы и потенциальному выполнению произвольного кода.
Список уязвимостей:
- CVE-2025-26594: Use-after-free при обработке корневого курсора.
- CVE-2025-26595: Переполнение буфера в XkbVModMaskText().
- CVE-2025-26596: Переполнение кучи в XkbWriteKeySyms().
- CVE-2025-26597: Переполнение буфера в XkbChangeTypesOfKey().
- CVE-2025-26598: Запись за границы памяти в CreatePointerBarrierClient().
- CVE-2025-26599: Использование неинициализированного указателя в compRedirectWindow().
- CVE-2025-26600: Use-after-free в PlayReleasedEvents().
- CVE-2025-26601: Use-after-free в SyncInitTrigger().
Что делать?
Разработчики X.Org уже исправили проблемы, и теперь остаётся дождаться, когда обновления xorg-server 21.1.16 и xwayland 24.1.6 появятся в репозиториях различных дистрибутивов. Чтобы обеспечить безопасность системы, рекомендуется:
- Проверить наличие обновлений пакетов xorg-server и xwayland.
- Обновить систему через пакетный менеджер:
sudo apt update && sudo apt upgrade(Debian, Ubuntu) илиsudo dnf upgrade(Fedora). - Перезагрузить систему после установки обновлений.
Следите за обновлениями вашего дистрибутива и своевременно устанавливайте исправления, чтобы минимизировать риски атак.
Linux: обзоры и обновления
• Новая ОС «Альт Рабочая станция» 11.0 с GNOME 47.4 и обновленной KDE Plasma 6.3
• Arch Linux добавлен в список дистрибутивов WSL 2 для Windows
• Обновление SteamOS 3.7.4 Preview: Valve продолжает готовить систему к выпуску для других устройств
• Релиз OpenMandriva Lx 6.0: ядро Linux 6.14, KDE Plasma 6.3 и серверная редакция
• Релиз CachyOS 250422: Улучшения ядра, добавление OCCT и поддержка портативных устройств
• Обновления Linux за неделю: 14 – 20 апреля 2025 года