Falha corrigida

X.org server 21.1.14 e Xwayland corrigem falha de segurança CVE-2024-9632

Servidor X.Org dá suporte a compiladores antigos

A equipe de segurança do X.Org lançou atualizações importantes para o X.Org Server (versão 21.1.14) e para o componente Xwayland (versão 24.1.4), ambas com o objetivo de corrigir uma vulnerabilidade crítica identificada como CVE-2024-9632. Essa falha permitia elevação de privilégios em sistemas onde o servidor X.Org era executado com permissões de superusuário (root), além de possibilitar a execução remota de código em configurações que utilizavam redirecionamento de sessão X11 via SSH.

A vulnerabilidade foi identificada como um estouro de buffer baseado em heap na função _XkbSetCompatMap(), causada por um erro no redimensionamento do buffer sym_interpret. O problema residia na atualização incorreta dos parâmetros internos, onde apenas o valor de num_si era modificado, enquanto size_si permanecia inalterado, resultando no estouro de buffer. Essa falha afeta as versões do X.Org Server desde a versão 1.1.1, lançada em 2006.

Descoberta por Jan-Niklas Sohn, trabalhando em conjunto com a Trend Micro Zero Day Initiative, essa vulnerabilidade tem potencial para ser explorada localmente em servidores que rodam como root ou remotamente, em sessões X11 redirecionadas via SSH. Felizmente, as versões mais recentes do X.Org Server (21.1.14) e do Xwayland (24.1.4) foram corrigidas e já estão disponíveis com as devidas proteções para mitigar esse risco.

Essas atualizações são cruciais para garantir a segurança dos sistemas que utilizam o servidor X.Org, especialmente aqueles que fazem uso do redirecionamento X11. A equipe de desenvolvimento agradeceu a todos os envolvidos no reporte e na correção dessa vulnerabilidade, reforçando o compromisso contínuo com a segurança e integridade de suas plataformas.