Dieser Tage veröffentlichte Jan-Niklas Sohn von der Trend Micro Zero Day Initiative einige neu entdeckte Sicherheitsprobleme bei X.Org. Bereits seit einigen Jahren gilt X.Org als Sicherheitsrisiko und es tauchen immer wieder Sicherheitsprobleme auf. Der derzeitige X.Org-Betreuer Povilas Kanapickas, der erst kürzlich X.Org Server 21.1.0 freigegeben hatte, veröffentlichte Details dazu auf der X.Org-Mailingliste.
Jan-Niklas Sohn entdeckte, dass der X.Org-Server bestimmte Eingaben nicht korrekt behandelt. Ein Angreifer könnte dieses Problem nutzen, um den Server zum Absturz zu bringen, was zu einem Denial-of-Service führt, oder möglicherweise lokal die Privilegien eskalieren und beliebigen Code ausführen.
Alle vier Lücken betreffen die Eingabevalidierung in X-Server-Erweiterungen und sind folgendermaßen katalogisiert:
Betroffen sind sowohl der Xorg-Server als auch XWayland. Patches für alle vier Lücken stehen auf Gitlab bereit. Bei Canonical sind etwa alle Versionen seit Ubuntu 18.04 LTS betroffen, bei Debian alle Ausgaben seit Debian 9. »Stretch«. Während Canonical bereits gepatchte Pakete für alle Versionen bereithält, ist bei Debian derzeit nur Unstable gepatched. Bei Arch Linux ist xorg-server noch verwundbar, während, xorg-wayland gepatched ist. Auch openSUSE hat Patches für die betroffenen Produkte.
EDIT: Mittlerweile liegt eine neue Version des X.Org-Servers vor, die bei den Distributionen getestet wird. xorg-server 21.1.2 wurde gestern Nachmittag offiziell vorgestellt. Diese Version behebt die vier gemeldeten Sicherheitslücken und mehrere Regressionen. Insbesondere werden die tatsächlichen physischen Abmessungen durch den X-Server nicht mehr gemeldet, da dies fehlerhaft war. Ab nun werden generell 96 DPI gemeldet, so wie es auch XWayland tut. Eine bessere Lösung für die Zukunft wäre laut Betreuer Povilas Kanapickas wäre, die Standard-DPI so zu belassen, wie sie ist, und das richtige Verhalten mit einer Kommandozeilenoption zu aktivieren (vielleicht -dpi auto oder ähnlich).