Cobrindo várias vulnerabilidades, foram lançadas correções de segurança para o XOrg Server e Xwayland. Confira os detalhes dessa atualização.
As implementações de exibição do XOrg Server e Xwayland foram corrigidas contra diversas vulnerabilidades de segurança que podem levar a heap overflows, gravações fora dos limites ou escalonamento de privilégios locais.
Lançadas correções de segurança para o XOrg Server e Xwayland
Um novo comunicado de segurança do X.Org foi publicado recentemente para alertar os usuários sobre CVE-2023-6816, um problema de estouro de buffer de heap introduzido no xorg-server v1.13.0 (lançado em 2012), CVE-2024-0229, um problema fora dos limites problema de acesso à memória introduzido no xorg-server v1.1.1 (lançado em 2006) e CVE-2024-21885, um problema de estouro de buffer de heap introduzido no xorg-server v1.10.0 (lançado em 2011).
Além disso, o novo comunicado de segurança alerta os usuários sobre CVE-2024-21886, outro problema de estouro de buffer de heap introduzido no xorg-server v1.13.0 (lançado em 2012), CVE-2024-0409, uma corrupção de contexto SELinux introduzida no xorg-server v1.13.0 (lançado em 2014) e CVE-2024-0408, um problema GLX PBuffer sem rótulo do SELinux introduzido no xorg-server v1.10.0 (lançado em 2011).
As vulnerabilidades CVE-2023-6816, CVE-2024-0229, CVE-2024-21885 e CVE-2024-21886 foram descobertas por Jan-Niklas Sohn da Trend Micro Zero Day Initiative, enquanto CVE-2024-0409 foi descoberta por Olivier Fourdan e CVE-2024-0408 de Olivier Fourdan e Donn Seeley.
Todas essas vulnerabilidades de segurança agora foram corrigidas no xorg-server v21.1.11, bem como no xwayland v23.2.4.
Além de corrigir essas vulnerabilidades, a versão xorg-server v21.1.11 também corrige um problema com o XRandR para permitir vários monitores virtuais em uma tela física.
Por outro lado, o xwayland v23.2.4 também contém várias outras correções para glamour, suporte libEI e sistemas FreeBSD.
Mais uma vez, isso mostra que o servidor X permanece sem correção contra muitas vulnerabilidades de segurança em 2024, portanto, seria altamente recomendável usar o Wayland.
Os mantenedores das distribuições Linux também são aconselhados a mudar para o Wayland por padrão em seus sistemas, caso ainda não tenham feito isso, ou corrigir o servidor X.
Esses novos lançamentos devem chegar em breve aos repositórios de software estáveis de suas distribuições GNU/Linux favoritas, por isso é aconselhável atualizar suas instalações assim que chegarem.
Mesmo que sua distribuição use o Wayland por padrão, a implementação do Xwayland provavelmente ainda é usada para compatibilidade com aplicativos X11, então você ainda precisa corrigir seus sistemas e certificar-se de que a versão mais recente esteja instalada.