X.Org 21.1.11 6 ದೋಷಗಳನ್ನು ನಿವಾರಿಸಲಾಗಿದೆ

ಇದನ್ನು ಇತ್ತೀಚೆಗೆ ಘೋಷಿಸಲಾಯಿತು X.Org ಸರ್ವರ್ 21.1.11 ರ ಹೊಸ ಸರಿಪಡಿಸುವ ಆವೃತ್ತಿಯ ಬಿಡುಗಡೆ ಮತ್ತು ಅದರೊಂದಿಗೆ xwayland 23.2.4 ಆವೃತ್ತಿಯನ್ನು ಸಹ ಬಿಡುಗಡೆ ಮಾಡಲಾಯಿತು, ಇದು ವೇಲ್ಯಾಂಡ್-ಆಧಾರಿತ ಪರಿಸರದಲ್ಲಿ X11 ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ಸಂಘಟಿಸಲು X.Org ಸರ್ವರ್‌ನ ಪ್ರಾರಂಭವನ್ನು ಖಚಿತಪಡಿಸುತ್ತದೆ.

ಎಂದು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ ಮುಖ್ಯ ಕಾರಣ X.Org 21.1.11 ರ ಈ ಹೊಸ ಆವೃತ್ತಿಯ ಬಿಡುಗಡೆಗಾಗಿ, ಇದು 6 ದೋಷಗಳನ್ನು ಸರಿಪಡಿಸಲು ಅಗತ್ಯವಾದ ಪ್ಯಾಚ್‌ಗಳ ಅನುಷ್ಠಾನ, X ಪರಿಚಾರಕವು ರೂಟ್ ಆಗಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಸಿಸ್ಟಮ್‌ಗಳಲ್ಲಿ ಸವಲತ್ತು ಹೆಚ್ಚಳಕ್ಕಾಗಿ, ಹಾಗೆಯೇ ಪ್ರವೇಶಕ್ಕಾಗಿ SSH ಮೂಲಕ X11 ಸೆಶನ್ ಮರುನಿರ್ದೇಶನವನ್ನು ಬಳಸುವ ಸೆಟಪ್‌ಗಳಲ್ಲಿ ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್‌ಗಾಗಿ ಬಳಸಿಕೊಳ್ಳಬಹುದು.

ದುರ್ಬಲತೆಗಳ ವಿವರಗಳು

CVE-2023-6816: DeviceFocusEvent ಮತ್ತು ProcXIQueryPointer ನಲ್ಲಿ ಬಫರ್ ಓವರ್‌ಫ್ಲೋ

ಈ ಭದ್ರತಾ ಸಮಸ್ಯೆ, CVE-2023-6816 ಎಂದು ಗುರುತಿಸಲಾಗಿದೆ, xorg-server-1.13 (0) ಬಿಡುಗಡೆಯಾದಾಗಿನಿಂದ ಸಮಸ್ಯೆಯು ಸ್ಪಷ್ಟವಾಗಿದೆ. ಅಮಾನ್ಯ ರಚನೆಯ ಸೂಚಿಯನ್ನು ರವಾನಿಸುವಾಗ ಬಫರ್ ಓವರ್‌ಫ್ಲೋ ಸಂಭವಿಸುತ್ತದೆ DeviceFocusEvent ಅಥವಾ ProcXIQueryPointer. ಸಾಧನದ ಬಟನ್‌ಗಳಿಗೆ ಸಾಕಷ್ಟು ಸ್ಥಳಾವಕಾಶದ ಕೊರತೆಯಿಂದಾಗಿ ದುರ್ಬಲತೆಯು ಓವರ್‌ಫ್ಲೋಗೆ ಕಾರಣವಾಗಬಹುದು.

CVE-2024-0229: ಬೇರೆ ಮಾಸ್ಟರ್ ಸಾಧನಕ್ಕೆ ಮರುಸಂಪರ್ಕಿಸುವಾಗ ಮಿತಿ ಮೀರಿದ ಮೆಮೊರಿ ಪ್ರವೇಶ

ದುರ್ಬಲತೆ ಸಿವಿಇ -2024-0229, ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತಾ ಬಂದಿದೆ xorg-server-1.1.1 ಬಿಡುಗಡೆಯಾದಾಗಿನಿಂದ (2006) ಮತ್ತು ಹೊರಗಿನ ಬಫರ್ ಬರವಣಿಗೆಯಿಂದಾಗಿ ಸಂಭವಿಸುತ್ತದೆ ಸಾಧನವು ಬಟನ್ ಮತ್ತು ಕೀ ವರ್ಗದ ಇನ್‌ಪುಟ್ ಅಂಶಗಳನ್ನು ಹೊಂದಿರುವ ಕಾನ್ಫಿಗರೇಶನ್‌ನಲ್ಲಿ ಮತ್ತೊಂದು ಮಾಸ್ಟರ್ ಸಾಧನಕ್ಕೆ ಲಿಂಕ್ ಮಾಡುವ ಮೂಲಕ ಮತ್ತು ಬಟನ್‌ಗಳ ಸಂಖ್ಯೆಯನ್ನು (numButtons ಪ್ಯಾರಾಮೀಟರ್) 0 ಗೆ ಹೊಂದಿಸಲಾಗಿದೆ.

CVE-2024-21885: XISendDeviceHierarchyEvent ನಲ್ಲಿ ಬಫರ್ ಓವರ್‌ಫ್ಲೋ

ದುರ್ಬಲತೆ ಸಿವಿಇ -2024-21885, ಆಗಿದೆ xorg-server-1.10.0 ಬಿಡುಗಡೆಯಾದಾಗಿನಿಂದ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತಿದೆ (2010) ಮತ್ತು ಬಫರ್ ಓವರ್‌ಫ್ಲೋಗೆ ಕಾರಣವಾಗಬಹುದು ಸಾಕಷ್ಟು ಜಾಗವನ್ನು ಹಂಚಿಕೆ ಮಾಡದ ಕಾರಣ XISendDeviceHierarchyEvent ನೀಡಲಾದ ID ಯನ್ನು ಹೊಂದಿರುವ ಸಾಧನವನ್ನು ತೆಗೆದುಹಾಕಿದಾಗ ಮತ್ತು ಅದೇ ID ಯನ್ನು ಹೊಂದಿರುವ ಸಾಧನವನ್ನು ಅದೇ ವಿನಂತಿಯಲ್ಲಿ ಸೇರಿಸಿದಾಗ.

ಗುರುತಿಸುವಿಕೆಗಾಗಿ ಡಬಲ್ ಕಾರ್ಯಾಚರಣೆಯ ಸಮಯದಲ್ಲಿ, ರಚನೆಯ ಎರಡು ನಿದರ್ಶನಗಳನ್ನು ಬರೆಯಲಾಗಿದೆ ಎಂಬ ಅಂಶದಿಂದಾಗಿ ದುರ್ಬಲತೆಯನ್ನು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ xXIHierarchyInfo ಅದೇ ಸಮಯದಲ್ಲಿ, ಕಾರ್ಯದ ಸಮಯದಲ್ಲಿ XISendDeviceHierarchyEvent ಒಂದು ಉದಾಹರಣೆಗಾಗಿ ಮೆಮೊರಿಯನ್ನು ನಿಯೋಜಿಸುತ್ತದೆ.

CVE-2024-21886: ಡಿಸೇಬಲ್ ಡಿವೈಸ್‌ನಲ್ಲಿ ಬಫರ್ ಓವರ್‌ಫ್ಲೋ

ದುರ್ಬಲತೆ ಸಿವಿಇ -2024-21886, ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತಾ ಬಂದಿದೆ xorg-server-1.13.0 ಬಿಡುಗಡೆಯಾದಾಗಿನಿಂದ (2012) ಮತ್ತು ಡಿಸೇಬಲ್ ಡಿವೈಸ್ ಫಂಕ್ಷನ್‌ನಲ್ಲಿ ಬಫರ್ ಓವರ್‌ಫ್ಲೋ ಅನ್ನು ಅನುಮತಿಸುತ್ತದೆ ಸ್ಲೇವ್ ಸಾಧನಗಳನ್ನು ಈಗಾಗಲೇ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿದಾಗ ಮಾಸ್ಟರ್ ಸಾಧನವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿದಾಗ ಇದು ಸಂಭವಿಸುತ್ತದೆ. ಸಾಧನಗಳ ಪಟ್ಟಿಯನ್ನು ಸಂಗ್ರಹಿಸಲು ರಚನೆಯ ಗಾತ್ರದ ತಪ್ಪಾದ ಲೆಕ್ಕಾಚಾರದಿಂದಾಗಿ ದುರ್ಬಲತೆ ಉಂಟಾಗುತ್ತದೆ.

CVE-2024-0409: SELinux ಸಂದರ್ಭದ ಭ್ರಷ್ಟಾಚಾರ

ದುರ್ಬಲತೆ CVE-2024-0409, xorg-server-1.16.0 ನಲ್ಲಿ ಕಂಡುಹಿಡಿಯಲಾಗಿದೆ, ಹೆಚ್ಚುವರಿ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸಲು "ಖಾಸಗಿ" ಕಾರ್ಯವಿಧಾನದ ತಪ್ಪಾದ ಬಳಕೆಯಿಂದಾಗಿ SELinux ಸಂದರ್ಭದ ಭ್ರಷ್ಟಾಚಾರಕ್ಕೆ ಕಾರಣವಾಗುತ್ತದೆ.

Xserver ತನ್ನದೇ ಆದ ವಸ್ತುಗಳಲ್ಲಿ ಯಾಂತ್ರಿಕತೆಯನ್ನು ಬಳಸುತ್ತದೆ, ಪ್ರತಿ ಖಾಸಗಿ ಅದರೊಂದಿಗೆ "ಪ್ರಕಾರ" ವನ್ನು ಹೊಂದಿದೆ. ಪ್ರತಿ "ಖಾಸಗಿ" ಅನ್ನು ರಚನೆಯ ಸಮಯದಲ್ಲಿ ಘೋಷಿಸಲಾದ ಸಂಬಂಧಿತ ಮೆಮೊರಿ ಗಾತ್ರಕ್ಕಾಗಿ ಹಂಚಲಾಗುತ್ತದೆ. ಎಕ್ಸ್‌ಸರ್ವರ್‌ನಲ್ಲಿನ ಕರ್ಸರ್ ರಚನೆಯು ಎರಡು ಕೀಗಳನ್ನು ಹೊಂದಿದೆ, ಒಂದು ಕರ್ಸರ್‌ಗೆ ಮತ್ತು ಇನ್ನೊಂದು ಕರ್ಸರ್ ಅನ್ನು ರೂಪಿಸುವ ಬಿಟ್‌ಗಳಿಗೆ. XSELINUX ಖಾಸಗಿ ಕೀಲಿಗಳನ್ನು ಸಹ ಬಳಸುತ್ತದೆ, ಆದರೆ ಇದು ಸ್ವಲ್ಪ ವಿಶೇಷ ಸಂದರ್ಭವಾಗಿದೆ ಏಕೆಂದರೆ ಇದು ಎಲ್ಲಾ ವಿಭಿನ್ನ ವಸ್ತುಗಳಿಗೆ ಒಂದೇ ಕೀಗಳನ್ನು ಬಳಸುತ್ತದೆ.

ಇಲ್ಲಿ ಏನಾಗುತ್ತದೆ ಎಂದರೆ Xephyr ಮತ್ತು Xwayland ಎರಡರಲ್ಲೂ ಕರ್ಸರ್ ಕೋಡ್ ಸೃಷ್ಟಿಯ ಮೇಲೆ ತಪ್ಪು ರೀತಿಯ "ಖಾಸಗಿ" ಅನ್ನು ಬಳಸುತ್ತದೆ, ಖಾಸಗಿ ಕರ್ಸರ್‌ನೊಂದಿಗೆ ಕರ್ಸರ್ ಬಿಟ್ಟೈಪ್ ಅನ್ನು ಬಳಸುತ್ತದೆ ಮತ್ತು ಕರ್ಸರ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಿದ ನಂತರ XSELINUX ಸಂದರ್ಭವನ್ನು ತಿದ್ದಿ ಬರೆಯುತ್ತದೆ.

CVE-2024-0408: ಟ್ಯಾಗ್ ಮಾಡದ SELinux GLX PBuffer

ದುರ್ಬಲತೆ CVE-2024-0408, xorg-server-1.10.0 ನಲ್ಲಿ ಪ್ರಸ್ತುತವಾಗಿದೆ (2010), ಸಂಪನ್ಮೂಲಗಳು X ಅನ್ನು ಟ್ಯಾಗ್ ಮಾಡದೆ ಉಳಿಯಲು ಅನುಮತಿಸುತ್ತದೆ, ಇದು ಸ್ಥಳೀಯ ಸವಲತ್ತು ಹೆಚ್ಚಳಕ್ಕೆ ಕಾರಣವಾಗಬಹುದು. X ಸರ್ವರ್‌ನಲ್ಲಿರುವ XSELINUX ಕೋಡ್ ಲಿಂಕ್ ಅನ್ನು ಆಧರಿಸಿ X ಸಂಪನ್ಮೂಲಗಳನ್ನು ಟ್ಯಾಗ್ ಮಾಡುತ್ತದೆ.

ಇಲ್ಲಿ ಏನಾಗುತ್ತದೆ ಎಂದರೆ GLX PBuffer ಕೋಡ್ ಬಫರ್ ಅನ್ನು ರಚಿಸಿದಾಗ XACE ಹುಕ್ ಅನ್ನು ಕರೆಯುವುದಿಲ್ಲ, ಆದ್ದರಿಂದ ಅದು ಟ್ಯಾಗ್ ಮಾಡದೆ ಉಳಿಯುತ್ತದೆ, ಮತ್ತು ಕ್ಲೈಂಟ್ ಆ ಸಂಪನ್ಮೂಲವನ್ನು ಪ್ರವೇಶಿಸಲು ಮತ್ತೊಂದು ವಿನಂತಿಯನ್ನು ನೀಡಿದಾಗ ಅಥವಾ ಇನ್ನೊಂದು ಸಂಪನ್ಮೂಲವನ್ನು ರಚಿಸಿದಾಗ ಅದು ಆ ಬಫರ್ ಅನ್ನು ಪ್ರವೇಶಿಸಬೇಕಾಗುತ್ತದೆ , XSELINUX ಕೋಡ್ ಎಂದಿಗೂ ಟ್ಯಾಗ್ ಮಾಡದ ವಸ್ತುವನ್ನು ಬಳಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ ಮತ್ತು SID ಶೂನ್ಯವಾಗಿರುವುದರಿಂದ ವಿಫಲಗೊಳ್ಳುತ್ತದೆ.

ಈ ಹೊಸ ಸರಿಪಡಿಸುವ ಆವೃತ್ತಿಯನ್ನು ನಮೂದಿಸುವುದು ಯೋಗ್ಯವಾಗಿದೆ ಈಗಾಗಲೇ ಲಭ್ಯವಿದೆ ಮುಖ್ಯ ಲಿನಕ್ಸ್ ವಿತರಣೆಗಳ ಹೆಚ್ಚಿನ ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ ಮತ್ತು ಆದ್ದರಿಂದ ಸಾಧ್ಯವಾದಷ್ಟು ಬೇಗ ಹೊಸ ಆವೃತ್ತಿಗೆ ನವೀಕರಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ.

ಅಂತಿಮವಾಗಿ ನೀವು ಇದ್ದರೆ ಅದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಆಸಕ್ತಿ, ನೀವು ವಿವರಗಳನ್ನು ಪರಿಶೀಲಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್.