The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление X.Org Server 21.1.8 и xwayland 23.1.1 с устранением уязвимости

30.03.2023 22:29

Опубликованы корректирующие выпуски X.Org Server 21.1.8 и DDX-компонента (Device-Dependent X) xwayland 22.1.6 и 23.1.1, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новых версиях устранена уязвимость (CVE-2023-1393), которая потенциально может быть эксплуатирована для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH.

Уязвимость вызвана обращением к памяти после её освобождения (use-after-free), возникающем из-за оставления необнулённого указателя на окно в структуре CompScreen после явной ликвидации клиентом COW-окна (Compositor Overlay Window).

  1. Главная ссылка к новости (https://www.mail-archive.com/x...)
  2. OpenNews: Уязвимость в libXpm, приводящая к выполнению кода
  3. OpenNews: Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранением 6 уязвимостей
  4. OpenNews: Уязвимость в libinput, приводящая к выполнению кода при подключении вредоносного устройства
  5. OpenNews: Обновление X.Org Server 1.20.11 с устранением уязвимости
  6. OpenNews: Выпуск X.Org Server 1.20.3 с устранением локальной root-уязвимости
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58897-xorg
Ключевые слова: xorg
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (62) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, шмякшмяк (?), 22:43, 30/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Даже не suid,все как всегда. Про Росу и то интереснее была новость.
     

     ....ответы скрыты модератором (2)

  • 1.4, Аноним (4), 22:48, 30/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    Xorg жил, Xorg жив, Xorg будет жить!  
     
     
  • 2.6, Аноним (6), 23:31, 30/03/2023 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Правильно. Бесит этот Wayland
     
  • 2.7, Аноним (7), 23:32, 30/03/2023 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Он уже все, пол-ногой на кладбоне. Скажем спасибо ксоргу за эти десятилетия ада (простительно, ибо альтернатив не было), но теперь пришло время с ним проститься. Наступает эпоха вяленого. Будем рассказывать внукам, что застали начало этой эпохи. Внуки будут нам завидовать.
     
     
  • 3.8, Аноним (6), 23:55, 30/03/2023 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Wayland заменяет только лишь часть функционала иксов. Остальное по мнению разрабов Wayland должны сделать сами разрабы DE. Короче не осилили, а остальные теперь за ними разгребать должны. Из-за чего теперь фрагментации ещё прибавилось в линуксах (при том, что и так было хоть отбавляй)
     
     
  • 4.9, Аноним (7), 00:04, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Wayland заменяет только лишь часть функционала иксов

    Правильно. За бортом остались фичи, которые и до этого-то были не особо нужны. А также фичи, которые лучше выносить в другие места, чтобы вяленый не превратился к монструозный комбайн, как это случилось с иксами.

     
     
  • 5.10, Аноним (6), 00:57, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не нужны? Wlroots тогда зачем? Преимущество иксов в том, что всё нужное в одном пакете, и это по сути стандарт. Wlroots же стандартом не является
     
     
  • 6.11, Аноним (7), 01:02, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Преимущество иксов в том, что всё нужное в одном пакете

    Это называется комбайн.

    > Wlroots же стандартом не является

    Правильно. wlroots - это реализация. Что сказать-то хотел?

     
     
  • 7.13, Аноним (6), 01:18, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    и этот комбайн был уместен. А теперь мы имеем зоопарк. И теперь разработчикам софта нужно или поддерживать каждую такую реализацию, или только одну, а на остальные забить (обычно это именно так и делается). Вот и думай теперь, что лучше: отточенный десятилетиями комбайн, слепленное из кусков нечто сомнительного качества
     
     
  • 8.15, Аноним (7), 01:59, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Разработчики софта с вяленым вообще никак не взаимодействуют ибо используют тулк... текст свёрнут, показать
     
  • 7.14, Аноним (14), 01:50, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Это называется комбайн

    systemD же схавали. А может дело в другом? Может быть, пора признать, что никакого открытого сообщества не существует, а танцует даму только тот, кто ее ужинает? В данном случае это мейнстримные дистрибутивы, которые сидят на кормушке у корпораций.

     
     
  • 8.22, iPony129412 (?), 05:57, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    так хорошая вещь же конечно всегда есть луддиты, которые будут кричать, они обы... текст свёрнут, показать
     
     
  • 9.48, Роман (??), 12:13, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Даже не обязательно луддиты и это не обязательно плохо, просто эти условные 2 у... текст свёрнут, показать
     
  • 7.29, YetAnotherOnanym (ok), 08:23, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Любой софт, хотя бы чуток превышающий уровень студенческого хелловорлда - комбайн. Офис - комбайн. Графический редактор - комбайн. КАД - комбайн. И т.д. Пока авторы вяленого будут делать вид, что отсутствие фич - это такая фича, найдётся очередной Поттеринг, который напишет свой комбайн (и протокол на замену вяленомку и референсную реализацию на замену вестона), кривой и глючный, но в котором будет то, чего не хватает в вяленом. И Вяленый пойдёт на помойку истории.
     
     
  • 8.30, iPony129412 (?), 08:33, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Может быть Но пока на свалку истории отправляются иксы Вообще не так плохо кон... текст свёрнут, показать
     
     
  • 9.47, Аноним (47), 12:12, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Предел есть у терпения ждать вяленый ... текст свёрнут, показать
     
     
  • 10.69, derfenix (ok), 00:06, 01/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не жду, 3 года пользуюсь спокойно ЧЯДНТ ... текст свёрнут, показать
     
  • 9.53, YetAnotherOnanym (ok), 14:50, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Когда реально отправятся - прибегай с радостной вестью, хвастун чужими достижени... текст свёрнут, показать
     
     
  • 10.55, iPony129412 (?), 15:58, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я не хвастаюсь, а просто констатирую факт о том, что идёт процесс И хи-хи хо-хо... текст свёрнут, показать
     
  • 5.35, EuPhobos (ok), 09:33, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Не любите комбайн? Тогда уходите и от использования systemd, прогрессивный вы наш с двойным стандартом..
     
  • 4.50, Хасимото (?), 13:48, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всё нормально он заменяет, кто сейчас пользуется тем же X11 over SSH, кому всё это барахло нужно?
     
     
  • 5.81, Аноним (81), 16:43, 02/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я пользуюсь. Даже не over SSH, в локалке потому что.
     
     
  • 6.82, Хасимото (?), 13:05, 03/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Point made, вообще никому не нужно. Один коммент за несколько дней.
     
  • 3.12, Аноним (12), 01:16, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Внуки будут нам завидовать

    Что X стал вяленым?

     
     
  • 4.33, Аноним (47), 09:27, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все равно все будут сидеть под иксами.  
     
     
  • 5.36, iPony129412 (?), 09:34, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как-то нет.

    https://linux-hardware.org/?view=os_display_server

    Да, это пионеры. Но тренды одинаковые.
    Вот к Ubuntu 24.04 подтягивают KDE и Nvidia, и считай, что небольшой горке луддитов останется.

     
     
  • 6.45, Аноним (47), 12:06, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Десятый год подтягивается, а поняш продолжает в это верить. На то он и поняш.
     
     
  • 7.49, iPony129412 (?), 13:36, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Десятый год подтягивается, а поняш продолжает в это верить. На то он и поняш.

    Причём тут вера, если факт.
    Что берёшь дефолтную Fedora - Wayland.
    Берёшь дефолтную Ubuntu - Wayland, если не Nvidia.

    Да и сам пишу из Wayland сеанса - не луддит же. Причём ничего не делалал, чтобы его поставить, июо дефолт.


     
     
  • 8.78, Аноним (4), 22:42, 01/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    поняша берет и берет не все же поняшей работают ... текст свёрнут, показать
     
  • 4.67, Аноним (67), 23:55, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Внуки будут нам завидовать

    "Живые позавидуют мертвым"

     
  • 3.77, anonymous (??), 04:46, 01/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    wayland имеет один серьёзный недостаток. Отсутствие стандарта и референсной реализации. Протокол типа расширяемый и поэтому вейланд для гнома не совпадает с вейландом для кедов. Это разные протоколы. Как быть тем, кто не пользуется никаким DE и не хочет привязываться ни к гному, ни к кде?

    иксы - это общий знаменатель. Пока для вейланда не появится общая реализация и общие стандарты, пользоваться им будет неудобно.

     

  • 1.5, Анонимусс (?), 22:52, 30/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Мегафикс!

    +    if (pWin == cs->pOverlayWin)
    +        cs->pOverlayWin = NULL;

    Всё как обычно, скукота...

     
  • 1.17, Аноним (17), 02:29, 31/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Haiku взяла самый ништяк от вяленого и таким образом в ней работает gtk софт без линукса и иксов! шах и мат господа гномеры, линукс и гном больше не нужны!
     
     
  • 2.18, Аноним (-), 02:32, 31/03/2023 Скрыто ботом-модератором
  • +2 +/
     
  • 2.44, Аноним (44), 11:50, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    1С предприятие (купленный) и Ворд (пиритка) запускаются?
     

  • 1.20, Аноним (20), 04:16, 31/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Уязвимость вызвана обращением к памяти после её освобождения (use-after-free), возникающем из-за оставления необнулённого указателя

    Как без пряников.

     
  • 1.23, troizet (ok), 06:43, 31/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Тут недавно узнал, что в иксах можно перезагрузить GNOME Shell без выхода из сессии. В Wayland для этого нужно выходить из сессии и заново входить.
    Что там такого наворотили?
     
     
  • 2.27, Аноним (27), 07:24, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это стандартная фишка всего иксового окружения, в теории ты можешь переключится с гнома на кеды не выходя из сессии.
     
  • 2.28, Аноним (28), 07:28, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Wayland - это протокол. Протокол этот реализуется несколькими композиторами, и в их числе Gnome Shell. Соответственно, ты не можешь перезапустить Gnome Shell, не перезапустив... Gnome Shell, который собственно все и рисует.
     
     
  • 3.32, Аноним (47), 09:26, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Wayland - это ненужный протокол.

    Поправил

     
  • 2.34, Аноним (34), 09:28, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это в иксах работает черт знает сколько лет. Там можно в/из twm переключиться в/из fvwm, в fluxbox и все приложения остаются запущенными только теперь под контролем другого WM.
     
     
  • 3.41, Аноним (47), 10:03, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Потому что иксы это сервер, а не протокол.  
     
     
  • 4.52, Аноним (34), 14:30, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да мы в курсе.
     
  • 4.68, Аноним (67), 23:57, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    "X Window System core protocol"? Не, не слышали!
     

  • 1.26, Аноним (26), 06:56, 31/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    самый адекватный оконный сервер
     

  • 1.42, Ддд (?), 10:25, 31/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ситуация дурдом. Вейланд настолько бестолковый что требует писать дрова под себя а ксорг устарел на десять лет
     
     
  • 2.51, Аноним (51), 14:19, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > устарел на десять лет

    Ты наверное и одежду выбрасываешь которая устарела по возрасту, но никак не по своим характеристикам?

     
     
  • 3.54, Анонн (?), 15:54, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если бы иксы не устарели по характеристикам, то их бы даже не собирались менять.
    Проблема как раз в том, что они устарели и по характеристикам, и "морально" - добавление любого улучшения обходится слишком дорого из-за огромной легаси базы.

    Кто-то из авторов/контрибьюторов иксов писал про какой-то из кусков кода, что в мире есть пара человек которые знают почему оно работает именно так.
    Никто не хочет туда лезть, и наверное сильнее всего сами разработчкики. Потому что нельзя предсказать, что может сломаться из-за самых безобидных изменений. И это огромная проблема.

     
     
  • 4.56, Аноним (56), 15:59, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Есть целая Федора с обезьянками, на которых можно точно так же бесплатно проводить опыты. Проблема высосана из пальца.
     
     
  • 5.57, Анонн (?), 16:16, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Как раз проблема в том, что для вас все проблемы "высосаны из пальца".
      тиринг - "умвр, иди правь конфиги"
      отсутствие изоляции процессов - "да кому оно нужно"
      отсутствие HDR - "у меня нет hdr моника, значит и вам не нужно"
    И так далее. Вообще ничего нового не нужно.
     
     
  • 6.58, Аноним (56), 17:10, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тиринг, как и статтеринг -- аппаратные проблемы, новые программные костыли их не... большой текст свёрнут, показать
     
     
  • 7.60, Анонн (?), 17:55, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > под такие новые требования возникает необходимость доработки (а то и полной переработки) всего стека технологий [...] которые были с 6 битной матрицей в лучшем случае

    Ну а чего тогда пишите что он не устарел?))
    Вот вопрос про HDR в X11 https://gitlab.freedesktop.org/xorg/xserver/-/issues/1037
    И ответ простой - никто это делать не будет.

    Просто никто не готов переработать весь стек х11, начиная с базовых сущностей. Жалкие попытки сделать условный hdr в виде расширений для x11 провалились не просто так.
    Проще сделать новый стек и перевести на него всех, а иксы сделать deprecated.
    Хотя подождите, это же и происходит.

     
     
  • 8.63, Zenitur (ok), 20:20, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    HDR можно реализовать на уровне композитного менеджера Компиз не развивается, а... текст свёрнут, показать
     
  • 8.65, Аноним (-), 21:44, 31/03/2023 Скрыто ботом-модератором
  • +/
     
  • 6.66, Аноним (-), 21:46, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > отсутствие HDR

    Но вообще-то иметь монитор HDR и не иметь мака, это кощунство. Всё равно что лить 98 бенз "ультра премиум люкс евро 100500 плюс" в запорожец.

     
  • 4.59, Аноним (34), 17:51, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Потому что нельзя предсказать, что может сломаться из-за самых безобидных изменений. И это огромная проблема

    Что ты несешь? Всегда можно понять что и как сломается (и сломается ли), если исходники необсфукцированы.
    Ты какой-то бред написал.

     
     
  • 5.61, Анонн (?), 18:03, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Хаха, если бы это было правдой, то мир бы не знал такого вида багов как "регрессия".
    Иногда код крайне запутан, а сайд-эффекты настолько неочевидны что это крайне затруднительно найти даже при наличии необсфукцированых исходников.
    А проблемное место может быть непокрыто тестами и/или проявиться на какой-то редкой конфигурации или особом железе.
     
  • 5.62, Аноним (20), 18:59, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Типичное мнение человека, ничего сложнее hello, world в жизни не написавшего.
     
  • 4.64, Аноним (-), 21:43, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто-то из авторов/контрибьюторов иксов писал про какой-то из кусков кода, что в мире есть пара человек которые знают почему оно работает именно так.

    Рекомендую купить подписку на ChatGPT, он всё расскажет, поймёт даже кухарка.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру