Il XOrg Server e Xwayland, due importanti implementazioni grafiche, sono stati corretti contro numerose vulnerabilità di sicurezza, che avrebbero potuto portare a sovraccarichi di heap, scritture fuori limite o escalation di privilegi locali. Un nuovo avviso di sicurezza di X.Org è stato pubblicato per avvisare gli utenti di queste problematiche.
Dettagli sulle Vulnerabilità
Le vulnerabilità riguardano diverse versioni di xorg-server, che risalgono al 2006, e includono problemi come:
- CVE-2023-6816: Sovraccarico del buffer di heap introdotto in xorg-server v1.13.0.
- CVE-2024-0229: Accesso alla memoria fuori limite introdotto in xorg-server v1.1.1.
- CVE-2024-21885 e CVE-2024-21886: Altri problemi di sovraccarico del buffer di heap in xorg-server v1.13.0.
- CVE-2024-0409: Corruzione del contesto SELinux introdotto in xorg-server v1.16.0.
- CVE-2024-0408: Problema con SELinux e buffer GLX non etichettato in xorg-server v1.10.0.
Queste vulnerabilità sono state scoperte da vari ricercatori e sono ora corrette in xorg-server v21.1.11, così come in xwayland v23.2.4.
Aggiornamenti e Miglioramenti
Oltre alla correzione di queste vulnerabilità, la release di xorg-server v21.1.11 risolve anche un problema con XRandR per consentire più monitor virtuali su un display fisico. Xwayland v23.2.4 contiene anche altre correzioni per glamor, supporto libEI e sistemi FreeBSD.
Raccomandazioni e Precauzioni
Viene consigliato l’uso di Wayland piuttosto che del server X, dato che quest’ultimo rimane vulnerabile a molte problematiche di sicurezza nel 2024. I gestori delle distribuzioni Linux sono anche invitati a passare a Wayland di default nei loro sistemi, se non lo hanno già fatto, o a correggere il server X. Anche se la tua distribuzione usa Wayland di default, l’implementazione di Xwayland è probabilmente ancora utilizzata per la compatibilità con le app X11, quindi è necessario correggere i sistemi e assicurarsi che l’ultima versione sia installata.