Разработчики X.Org сообщили о восьми критических уязвимостях в X.Org X server и Xwayland, включая использование памяти после освобождения (use-after-free), переполнение буфера и запись за границы памяти. Для устранения проблем выпущены обновления xorg-server 21.1.16 и xwayland 24.1.6.
X.Org X server — это дисплейный сервер, реализующий протокол X11. Он отвечает за графический вывод в UNIX-подобных системах, управляет вводом с клавиатуры и мыши, а также взаимодействует с драйверами видеокарт. Используется в большинстве традиционных графических окружений Linux.
Xwayland — это совместимый слой, позволяющий X11-приложениям работать в среде Wayland. Он обеспечивает поддержку старых программ, не адаптированных для Wayland, интегрируясь с современными композиторами, такими как Mutter и KWin, без необходимости запускать отдельный X-сервер.
Детали уязвимостей
Информация о новых уязвимостях была опубликована в официальном объявлении от разработчика Оливье Фурдана (Olivier Fourdan) 25 февраля 2025 года. Найденные проблемы могут привести к сбоям работы X-сервера, компрометации системы и потенциальному выполнению произвольного кода.
Список уязвимостей:
- CVE-2025-26594: Use-after-free при обработке корневого курсора.
- CVE-2025-26595: Переполнение буфера в XkbVModMaskText().
- CVE-2025-26596: Переполнение кучи в XkbWriteKeySyms().
- CVE-2025-26597: Переполнение буфера в XkbChangeTypesOfKey().
- CVE-2025-26598: Запись за границы памяти в CreatePointerBarrierClient().
- CVE-2025-26599: Использование неинициализированного указателя в compRedirectWindow().
- CVE-2025-26600: Use-after-free в PlayReleasedEvents().
- CVE-2025-26601: Use-after-free в SyncInitTrigger().
Что делать?
Разработчики X.Org уже исправили проблемы, и теперь остаётся дождаться, когда обновления xorg-server 21.1.16 и xwayland 24.1.6 появятся в репозиториях различных дистрибутивов. Чтобы обеспечить безопасность системы, рекомендуется:
- Проверить наличие обновлений пакетов xorg-server и xwayland.
- Обновить систему через пакетный менеджер:
sudo apt update && sudo apt upgrade(Debian, Ubuntu) илиsudo dnf upgrade(Fedora). - Перезагрузить систему после установки обновлений.
Следите за обновлениями вашего дистрибутива и своевременно устанавливайте исправления, чтобы минимизировать риски атак.
Linux: обзоры и обновления
• VacuumTube — лучший способ смотреть YouTube на Steam Deck и SteamOS
• Steam Deck и SteamOS: более 20 000 игр получили статус «Полностью совместима» или «Можно играть»
• Proton Experimental получил исправления для Warframe, Enshrouded, Crysis 2 Remastered и других игр на Linux и Steam Deck
• Wine 10.10: новые функции и исправления для Windows-приложений
• 3DMark планирует выпустить версию для Linux
• Manjaro KDE Plasma переходит на Wayland по умолчанию