As implementações de exibição do XOrg Server e Xwayland foram recentemente corrigidas para abordar diversas vulnerabilidades de segurança. Essas falhas poderiam resultar em estouros de heap, gravações fora dos limites ou escalonamento de privilégios locais, sendo essencial proteger os sistemas contra possíveis explorações.
Um novo aviso de segurança, o X.Org Security Advisory, foi divulgado hoje, destacando as seguintes vulnerabilidades:
- CVE-2023-6816: Estouro de buffer de heap introduzido no xorg-server v1.13.0 (lançado em 2012).
- CVE-2024-0229: Acesso à memória fora dos limites introduzido no xorg-server v1.1.1 (lançado em 2006).
- CVE-2024-21885: Estouro de buffer de heap introduzido no xorg-server v1.10.0 (lançado em 2011).
- CVE-2024-21886: Outro estouro de buffer de heap introduzido no xorg-server v1.13.0 (lançado em 2012).
- CVE-2024-0409: Corrupção de contexto SELinux introduzida no xorg-server v1.16.0 (lançado em 2014).
- CVE-2024-0408: Problema GLX PBuffer sem rótulo do SELinux introduzido no xorg-server v1.10.0 (lançado em 2011).
As vulnerabilidades foram identificadas por pesquisadores como Jan-Niklas Sohn da Trend Micro Zero Day Initiative, Olivier Fourdan e Donn Seeley. Todas as falhas foram corrigidas nas versões mais recentes do xorg-server (v21.1.11) e xwayland (v23.2.4). Espera-se que essas atualizações estejam disponíveis em breve nos repositórios de software estáveis das distribuições GNU/Linux, sendo recomendável que os usuários atualizem suas instalações assim que possível.
Além das correções de segurança, a versão xorg-server v21.1.11 também aborda um problema relacionado ao XRandR, permitindo a utilização de vários monitores virtuais em uma única tela física. Por sua vez, o xwayland v23.2.4 inclui várias outras correções para glamour, suporte a libEI e sistemas FreeBSD.
Isso destaca a importância contínua de proteger sistemas contra vulnerabilidades no servidor X. Sugerimos, mais uma vez, considerar a transição para Wayland, uma alternativa mais segura, e encorajamos os mantenedores de distribuições Linux a adotarem o Wayland como padrão em seus sistemas ou a corrigir o servidor X, se ainda não o fizeram. Mesmo nas distribuições que utilizam Wayland por padrão, a implementação do Xwayland pode ser necessária para compatibilidade com aplicativos X11, justificando a instalação da versão mais recente para garantir a segurança do sistema.