如今,X.Org服务器没有看到RedHat和其他公司从经典的X.Org/X11会话中剥离出来的功能工作方式。但由于X.Org代码库中长期存在的安全问题,X.Org服务器和XWayland代码继续有新的点发布。由于两个可以追溯到2007年和2009年的错误的CVE,昨晚发布了新的点数。
X.Org Server 21.1.10和XWayland 23.2.3现在可用于寻址CVE-2023-6377和CVE-2023-6478。
CVE-2023-6377漏洞是XKB按钮操作中内存写入越界,其中在带有按钮的设备上强制更改逻辑设备可能会导致内存写入越界。如果服务器以超级用户身份运行或使用远程代码执行(如X11-over-SSH),这可能会导致本地权限提升。
CVE-2023-6478是RRChangeOutputProperty和RRChangeProviderProperty函数中可能导致信息泄漏的越界内存读取。
这些最新的X.Org安全漏洞是由Trend Micro Zero Day Initiative发现的,该倡议多年来还负责发现X.Org代码库中的许多其他安全问题。
有关这些最新问题的更多详细信息,请访问X.Org安全咨询。
除了这些安全问题,但在一些相关的新闻,艾伦库珀史密斯与甲骨文一直在努力 X.Org空间中的“现代C”支持 as part of Fedora and other Linux distributions turning more compiler warnings into errors. There's a number of fixes coming to the X.Org codebase as a result of addressing those warnings. New point releases will likely come early in the new year to deal with those soon-to-be compiler errors.
