Стиже корективна верзија Кс.Орг 21.1.12, која решава 4 рањивости, од којих је једна присутна од 2004.

Кс.орг

Кс.орг лого

Недавно је објављеноиздање нове корективне верзије Кс.Орг-а, «корг-сервер-21.1.12 и кваиланд-23.2.5″ у којима су имплементиране безбедносне исправке за више проблема откривених у имплементацијама и који наглашавају да се баве 4 важне рањивости.

То се помиње у овој новој верзији Поправљен је један од идентификованих проблема који је могао да изазове клијент користећи различите вредности „*ендиан“. на Кс сервер и постављају специфичне захтеве, решење се такође нуди тако што дозвољава блокирање конекције клијената са различитим редоследом бајтова.

Ово стање утиче на прве три рањивости а то може довести до тога да Кс сервер чита вредности из меморије и записује их назад клијенту, све док не дође до недодељене странице и сегмената. Ксваиланд верзије 23.1 и новије подразумевано онемогућавају ову подршку за замену бајтова, пружајући слој заштите од ових проблема.

Решења имплементирана у Кс.Орг 21.1.12

Од рањивости на које се ради је у Кс.Орг 21.1.12, први од њих је ЦВЕ-2024-31080, што је узроковано прекомерним читањем бафера/цурењем података у ПроцКСИГетСелецтедЕвентс. Нова верзија нуди решење тако што дозвољава блокирање конекције клијената са различитим редоследом бајтова преко конфигурационог параметра «AllowByteSwappedClients» или опција командне линије «+byteswappedclients".

Измените подразумевану вредност да бисте ублажили потенцијалне рањивостиповезан са манипулацијом редоследа бајтова То је критична безбедносна мера. Ове рањивости настају када се промени редослед бајтова вредности, што може довести до погрешне интерпретације и на крају читања или писања у области меморије изван величине додељеног бафера.

Мада систем наставља да подржава клијенте са различитим редоследом бајтова Подразумевано, у пракси се ова подршка веома ретко користи у последње време. То је зато што је већина радних станица са Кс сервером опремљена процесорима за редослед бајтова са малим бројем бајтова. Повезивање Кс клијената са биг-ендиан редоследом бајтова, као што је на платформи ИБМ зСистемс с390к, ретка је ситуација и није репрезентативна за већину корисничких окружења.

Друга рањивост која је адресирана је ЦВЕ-2024-31081 узроковано прекомерним читањем бафера/цурењем података у ПроцКСИПассивеГрабДевице на Кс серверу, као и претходна, ова рањивост омогућава клијенту са другачијим ендианнессом од Кс сервера да изазове неправилно понашање приликом манипулације функцијом. Помиње се да је грешка уведена у верзији корг-сервер-1.7.0 (издата 2009).

Од друге две рањивости помиње се следеће:

  • ЦВЕ-2024-31082: Узроковано прекомерним читањем бафера/цурењем података у ПроцАпплеДРИЦреатеПикмап. Рањивост се налази у функцији ПроцАпплеДРИЦреатеПикмап() на Кс серверу. Она посебно утиче на Кскуартз сервер за МацОС системе и дозвољава прекомерно читање бафера гомиле и цурење података када постоје разлике у ендианнессу између клијента и уведеног у корг-сервер-1.12.0. .2012 (XNUMX)
  • ЦВЕ-2024-31083: Узроковано издањем у ПроцРендерАддГлипхс. Рањивост је постојала пре верзије Кс11Р6.7 (2004) и утиче на функцију ПроцРендерАддГлипхс() на

Вреди напоменути да су ове рањивости означени су као критични, јер би њихово коришћење могло омогућити нападачу да повећа привилегије на системима где Кс сервер ради са роот привилегијама. Поред тога, у подешавањима која користе преусмеравање Кс11 сесије преко ССХ за приступ, то може довести до даљинског извршавања кода.

Због тога се препоручује да ако још увек користите верзију пре Кс.Орг 21.1.12, извршите одговарајуће ажурирање. Напс заинтересовани да сазнају више о томе, можете проверити детаље У следећем линку.


Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.