Da hat jemand wohl versucht, ein bisschen in den X.Org X Server und Xwayland herumzuschn\u00fcffeln und dabei ein paar unsch\u00f6ne Sicherheitsl\u00fccken entdeckt. Aber keine Sorge, die Entwickler haben schnell reagiert und neue Softwarepakete ver\u00f6ffentlicht, um diese L\u00fccken zu stopfen. Denn wer braucht schon Angreifer, die ihre Rechte ausweiten oder Denial-of-Service-Angriffe starten k\u00f6nnen? Nicht wir!<\/p>\n
Also, was genau waren diese L\u00fccken? Es scheint, als ob ein Puffer f\u00fcr Datenkopieraktionen im Heap nicht richtig berechnet wurde. Das f\u00fchrt dazu, dass Schreibzugriffe \u00fcber die Grenzen des Speichers hinaus m\u00f6glich sind. So k\u00f6nnen die Angreifer ihre Rechte ausweiten oder die Software zum Absturz bringen. Klingt nach einer ziemlich unsch\u00f6nen Sache, oder? Die Sicherheitsleute haben das Ganze sogar eine hohe Risikobewertung gegeben (CVE-2023-5367, CVSS 7.8).<\/p>\n
Aber das ist noch nicht alles! Es gibt noch eine weitere Schwachstelle, die den xorg-x11-server-Xvfb betrifft. Hier haben wir es mit einem Use-after-free-Fehler zu tun, der \u00e4hnliche M\u00f6glichkeiten f\u00fcr die B\u00f6sewichte bietet. Allerdings ist daf\u00fcr eine spezielle Konfiguration erforderlich, n\u00e4mlich der Multi-Screen-Betrieb, der auch als Zaphod-Modus bekannt ist (CVE-2023-5574, CVSS 7.0). Also, wenn ihr euren Bildschirm aufteilt und ein bisschen wie ein Zauberer ausseht, dann seid ihr potenziell gef\u00e4hrdet. Passt auf euch auf!<\/p>\n
Zum Gl\u00fcck haben die Entwickler bereits aktualisierte Pakete ver\u00f6ffentlicht, um diese Probleme zu beheben. Die neuen Versionen hei\u00dfen xorg-server-21.1.9 und xwayland-23.2.2. Mit diesen Updates wird die erste Sicherheitsl\u00fccke mit hohem Risiko behoben. Das ist doch mal eine gute Nachricht! Leider gibt es f\u00fcr die zweite L\u00fccke (CVE-2023-5574) noch keine L\u00f6sung, da es noch Probleme mit den vorgeschlagenen Fixes gibt. Aber hey, besser eine L\u00fccke geschlossen als gar keine, oder?<\/p>\n
Also, liebe Unix- und Linux-Nutzer, \u00f6ffnet eure Softwareverwaltung und schaut nach Updates. Installiert die verf\u00fcgbaren Aktualisierungen, um die Sicherheitsrisiken zu minimieren. Denn niemand will, dass sein Computer von einem fiesen Angreifer gehackt wird. Das w\u00e4re ja fast so schlimm wie ein Kater nach einer durchzechten Nacht!<\/p>\n
Und \u00fcbrigens, falls ihr euch fragt, wie es in der Zukunft mit X.Org X Server und Xwayland weitergeht: Es sieht nicht allzu rosig aus. Die Verwendung von X11 wird immer weniger beliebt. KDE Plasma setzt ab Version 6.0 standardm\u00e4\u00dfig auf Wayland und auch das Gnome-Projekt plant, den X11-Support schrittweise einzustellen. Also wird der gute alte X.Org X Server und Xwayland wohl mit der Zeit an Bedeutung verlieren. Aber hey, alles \u00e4ndert sich, nicht wahr?<\/p>\n
Schlagw\u00f6rter: XOrg X Server + Xwayland + Sicherheitsl\u00fccken<\/p>\n","protected":false},"excerpt":{"rendered":"
Da hat jemand wohl versucht, ein bisschen in den X.Org X Server und Xwayland herumzuschn\u00fcffeln und dabei ein paar unsch\u00f6ne Sicherheitsl\u00fccken entdeckt. Aber keine Sorge, die Entwickler haben schnell reagiert und neue Softwarepakete ver\u00f6ffentlicht, um diese L\u00fccken zu stopfen. Denn wer braucht schon Angreifer, die ihre Rechte ausweiten oder Denial-of-Service-Angriffe...<\/p>\n","protected":false},"author":4,"featured_media":798,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-799","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/799","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=799"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/799\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/798"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=799"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=799"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=799"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}