Обновление безопасности: X.Org Server 21.1.22 и Xwayland 24.1.10
Проект X.Org опубликовал исправления пяти уязвимостей, которые затрагивают все версии компонентов графического стека, выпущенные ранее.
Пользователям и системным администраторам рекомендуется обновить свои системы до версий xorg-server 21.1.22 и xwayland 24.1.10. Обновление устраняет пять проблем безопасности, которым присвоены идентификаторы CVE с CVE-2026–33999 по CVE-2026–34003. Все они были обнаружены Яном-Никласом Зоном (Jan-Niklas Sohn) в сотрудничестве с инициативой TrendAI Zero Day Initiative.
- CVE-2026–33999: Целочисленное переполнение в XkbSetCompatMap () — может привести к выходу за границы буфера при обработке запроса.
- CVE-2026–34000: Выход за границы чтения в CheckSetGeom () — ошибка при проверке границ в XKB позволяет читать неинициализированную память.
- CVE-2026–34001: Использование после освобождения (Use-After-Free) в XSYNC — проблема в обработчике синхронизации, которая может привести к краху или выполнению произвольного кода.
- CVE-2026–34002: Выход за границы чтения в CheckModifierMap () — неверная проверка данных в запросе клиента приводит к чтению неинициализированной памяти.
- CVE-2026–34003: Переполнение буфера в CheckKeyTypes () — некорректная проверка границ в функции может привести к чтению памяти за пределами запроса.
Некоторые дистрибутивы, например Debian, уже классифицировали эти проблемы как незначительные в контексте Xwayland, аргументируя это тем, что Xwayland не должен работать с привилегиями суперпользователя.
>>> Исходный код исправления для xorg-server
>>> Анонс на GamingOnLinux
>>> Анализ на 9to5Linux
>>> Официальное уведомление о безопасности X.Org
