ភាពងាយរងគ្រោះជាច្រើននៅក្នុង X.Org Server និង xwayland ត្រូវបានជួសជុល 

ភាពងាយរងគ្រោះ។

ប្រសិនបើត្រូវបានកេងប្រវ័ញ្ច កំហុសទាំងនេះអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារទទួលបានព័ត៌មានរសើបដោយគ្មានការអនុញ្ញាត ឬជាទូទៅបង្កបញ្ហា

ប៉ុន្មានថ្ងៃមុនវាត្រូវបានប្រកាស ដំណឹងនៃការចេញផ្សាយកំណែកែតម្រូវថ្មីនៃ X.Org Server និង xwaylan, ដែលបានដោះស្រាយបញ្ហាសំខាន់ៗមួយចំនួនដែលត្រូវបានកំណត់នៅក្នុងសមាសធាតុទាំងពីរនេះ។

និងកំណែថ្មី។ ដោះស្រាយភាពងាយរងគ្រោះដែលអាចត្រូវបានកេងប្រវ័ញ្ចដើម្បីបង្កើនសិទ្ធិ នៅលើប្រព័ន្ធដែលដំណើរការម៉ាស៊ីនមេ X ជា root ក៏ដូចជាសម្រាប់ការប្រតិបត្តិកូដពីចម្ងាយលើការដំឡើងដែលប្រើការបញ្ជូនបន្តវេន X11 លើ SSH សម្រាប់ការចូលប្រើ។

បញ្ហាជាច្រើនត្រូវបានរកឃើញនៅក្នុងការអនុវត្តម៉ាស៊ីនមេ X.Org X ដែលបានចេញផ្សាយ ដោយ X.Org ដែលយើងកំពុងចេញផ្សាយការជួសជុលសុវត្ថិភាពនៅក្នុង xorg-server-21.1.9 និង xwayland-23.2.2 ។

វាគឺមានតំលៃនិយាយថាបញ្ហាដែលត្រូវបានដោះស្រាយជាមួយនឹងកំណែកែតម្រូវថ្មី, ពួកគេមានវត្តមានយ៉ាងហោចណាស់ 11 ឆ្នាំ។ (ដោយគិតគូរពីភាពងាយរងគ្រោះថ្មីៗបំផុតក្នុងបញ្ជី) ដែលក្លាយជាបញ្ហាធ្ងន់ធ្ងរសម្រាប់ X.Org Server ចាប់តាំងពីដើមខែតុលា ព័ត៌មានអំពីភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពដែលមានតាំងពីឆ្នាំ 1988 ត្រូវបានចេញផ្សាយ។

សម្រាប់ផ្នែកនៃបញ្ហាដែលត្រូវបានដោះស្រាយនៅក្នុងកំណែកែតម្រូវទាំងនេះ។ ភាពងាយរងគ្រោះដំបូងគឺ CVE-2023-5367 ហើយ​ដែល​ត្រូវ​បាន​លើក​ឡើង​ដូច​ខាង​ក្រោម​នេះ​:

  • ភាពងាយរងគ្រោះនេះ បណ្តាលឱ្យមានផ្ទុកលើសចំណុះនៅក្នុងមុខងារ XICchangeDeviceProperty និង RRCchangeOutputProperty, ដែលអាចត្រូវបានកេងប្រវ័ញ្ចដោយការភ្ជាប់ធាតុបន្ថែមទៅនឹងទ្រព្យសម្បត្តិឧបករណ៍បញ្ចូលឬទ្រព្យសម្បត្តិ randr.
    ភាពងាយរងគ្រោះត្រូវបាន មានវត្តមានចាប់តាំងពីការចេញផ្សាយ xorg-server 1.4.0 (2007​) ហើយត្រូវបានបង្កឡើងដោយការគណនាអុហ្វសិតមិនត្រឹមត្រូវនៅពេលភ្ជាប់ធាតុបន្ថែមទៅនឹងលក្ខណៈសម្បត្តិដែលមានស្រាប់ ដែលបណ្តាលឱ្យធាតុត្រូវបានបន្ថែមជាមួយនឹងអុហ្វសិតមិនត្រឹមត្រូវ ដែលបណ្តាលឱ្យមានការសរសេរទៅកាន់តំបន់អង្គចងចាំនៅខាងក្រៅសតិបណ្ដោះអាសន្នដែលបានបែងចែក។
    ឧទាហរណ៍ ប្រសិនបើអ្នកបន្ថែមធាតុ 3 ទៅធាតុដែលមានស្រាប់ 5 អង្គចងចាំនឹងត្រូវបានបម្រុងទុកសម្រាប់អារេនៃ 8 ធាតុ ប៉ុន្តែធាតុដែលមានពីមុននឹងត្រូវបានរក្សាទុកនៅក្នុងអារេថ្មីដែលចាប់ផ្តើមនៅលិបិក្រម 5 ជំនួសឱ្យ 3 ដែលបណ្តាលឱ្យធាតុពីរចុងក្រោយគឺ សរសេរចេញពីព្រំដែន។

La ទីពីរនៃភាពងាយរងគ្រោះ ដែលត្រូវបានដោះស្រាយគឺ CVE-2023-5380 ហើយ​ដែល​គេ​លើក​ឡើង​ថា​៖

  • អនុញ្ញាតឱ្យចូលប្រើអង្គចងចាំបន្ទាប់ពីទំនេរ នៅក្នុងមុខងារ បំផ្លាញបង្អួច។ វាត្រូវបានគេលើកឡើងថា បញ្ហាអាចត្រូវបានកេងប្រវ័ញ្ចដោយការផ្លាស់ទីទ្រនិចរវាងអេក្រង់ នៅក្នុងការកំណត់រចនាសម្ព័ន្ធពហុម៉ូនីទ័រនៅក្នុងរបៀប ហ្សាផូដដែលក្នុងនោះម៉ូនីទ័រនីមួយៗបង្កើតអេក្រង់ផ្ទាល់ខ្លួនរបស់វា ហើយហៅមុខងារបិទបង្អួចម៉ាស៊ីនភ្ញៀវ។
    ភាពងាយរងគ្រោះ បានបង្ហាញខ្លួនចាប់តាំងពីការចេញផ្សាយ xorg-server 1.7.0 (2009) ហើយត្រូវបានបង្កឡើងដោយការពិតដែលថាបន្ទាប់ពីបិទបង្អួច និងដោះលែងអង្គចងចាំដែលភ្ជាប់ជាមួយវា ទ្រនិចសកម្មទៅបង្អួចមុននៅតែមាននៅក្នុងរចនាសម្ព័ន្ធដែលផ្តល់អេក្រង់ចង។ Xwayland មិនរងផលប៉ះពាល់ដោយភាពងាយរងគ្រោះនៅក្នុងសំណួរនោះទេ។

ភាពងាយរងគ្រោះចុងក្រោយ ដែលត្រូវបានដោះស្រាយនៅក្នុងកំណែកែតម្រូវថ្មីគឺ CVE-2023-5574 ហើយនេះអនុញ្ញាតឱ្យ៖

  • ការចូលប្រើអង្គចងចាំក្រោយទំនេរក្នុងមុខងារ DamageDestroy ។ ភាពងាយរងគ្រោះអាចត្រូវបានកេងប្រវ័ញ្ចលើម៉ាស៊ីនមេ Xvfb ក្នុងអំឡុងពេលដំណើរការសម្អាតរចនាសម្ព័ន្ធ អេមរេដអរ កំឡុងពេលបិទម៉ាស៊ីនមេ ឬការផ្តាច់ម៉ាស៊ីនភ្ញៀវចុងក្រោយ។ ដូចភាពងាយរងគ្រោះពីមុនដែរ បញ្ហាលេចឡើងតែនៅក្នុងការដំឡើងពហុម៉ូនីទ័រនៅក្នុងរបៀប Zaphod ប៉ុណ្ណោះ។ ភាពងាយរងគ្រោះមានតាំងពីការចេញផ្សាយ xorg-server-1.13.0 (2012) ហើយនៅតែមិនជួសជុល (ជួសជុលតែជាបំណះ)។

ម្យ៉ាងវិញទៀត វាត្រូវបានលើកឡើងថា បន្ថែមពីលើការលុបបំបាត់ភាពងាយរងគ្រោះនោះ xwayland 23.2.2 ក៏ត្រូវបានផ្លាស់ប្តូរពីបណ្ណាល័យផងដែរ។ libbsd-ត្រួតលើគ្នាទៅ libbsd ហើយបានបញ្ឈប់ការភ្ជាប់ដោយស្វ័យប្រវត្តិទៅចំណុចប្រទាក់ RemoteDesktop XDG Desktop Portal ដើម្បីកំណត់រន្ធដែលប្រើដើម្បីផ្ញើព្រឹត្តិការណ៍ XTest ទៅម៉ាស៊ីនមេផ្សំ។

ការតភ្ជាប់ដោយស្វ័យប្រវត្តិបានបង្កើតបញ្ហានៅពេលដំណើរការ Xwayland នៅលើម៉ាស៊ីនមេដែលភ្ជាប់គ្នា ដូច្នេះនៅក្នុងកំណែថ្មី ជម្រើស "-enable-ei-portal" ត្រូវតែបញ្ជាក់យ៉ាងច្បាស់ដើម្បីភ្ជាប់ទៅវិបផតថល។

ទីបំផុតប្រសិនបើអ្នក ចាប់អារម្មណ៍ចង់ដឹងបន្ថែមអំពីវា។អ្នកអាចពិនិត្យព័ត៌មានលម្អិតនៅក្នុងឯកសារ តំណខាងក្រោម។


ធ្វើជាយោបល់ដំបូង

ទុកឱ្យយោបល់របស់អ្នក

អាសយដ្ឋានអ៊ីមែលរបស់អ្នកនឹងមិនត្រូវបានបោះពុម្ភ។ អ្នកគួរតែអនុវត្តតាម *

*

*

  1. ទទួលខុសត្រូវចំពោះទិន្នន័យ៖ AB Internet Networks 2008 SL
  2. គោលបំណងនៃទិន្នន័យ៖ គ្រប់គ្រង SPAM ការគ្រប់គ្រងមតិយោបល់។
  3. ភាពស្របច្បាប់៖ ការយល់ព្រមរបស់អ្នក
  4. ការប្រាស្រ័យទាក់ទងទិន្នន័យ៖ ទិន្នន័យនឹងមិនត្រូវបានទាក់ទងទៅភាគីទីបីឡើយលើកលែងតែកាតព្វកិច្ចផ្នែកច្បាប់។
  5. ការផ្ទុកទិន្នន័យ៖ មូលដ្ឋានទិន្នន័យដែលរៀបចំដោយបណ្តាញ Occentus (EU)
  6. សិទ្ធិ៖ នៅពេលណាដែលអ្នកអាចដាក់កម្រិតទាញយកមកវិញនិងលុបព័ត៌មានរបស់អ្នក។