CleanPress

Schlagwort: X.org-Server

  • Erneut Sicherheitsprobleme bei X.Org

    X.org-Server 21.1.0

    Dieser Tage veröffentlichte Jan-Niklas Sohn von der Trend Micro Zero Day Initiative einige neu entdeckte Sicherheitsprobleme bei X.Org. Bereits seit einigen Jahren gilt X.Org als Sicherheitsrisiko und es tauchen immer wieder Sicherheitsprobleme auf. Der derzeitige X.Org-Betreuer Povilas Kanapickas, der erst kürzlich X.Org Server 21.1.0 freigegeben hatte, veröffentlichte Details dazu auf der X.Org-Mailingliste.

    Jan-Niklas Sohn entdeckte, dass der X.Org-Server bestimmte Eingaben nicht korrekt behandelt. Ein Angreifer könnte dieses Problem nutzen, um den Server zum Absturz zu bringen, was zu einem Denial-of-Service führt, oder möglicherweise lokal die Privilegien eskalieren und beliebigen Code ausführen.

    Alle vier Lücken betreffen die Eingabevalidierung in X-Server-Erweiterungen und sind folgendermaßen katalogisiert:

    Betroffen sind sowohl der Xorg-Server als auch XWayland. Patches für alle vier Lücken stehen auf Gitlab bereit. Bei Canonical sind etwa alle Versionen seit Ubuntu 18.04 LTS betroffen, bei Debian alle Ausgaben seit Debian 9. »Stretch«. Während Canonical bereits gepatchte Pakete für alle Versionen bereithält, ist bei Debian derzeit nur Unstable gepatched. Bei Arch Linux ist xorg-server noch verwundbar, während, xorg-wayland gepatched ist. Auch openSUSE hat Patches für die betroffenen Produkte.

    EDIT: Mittlerweile liegt eine neue Version des X.Org-Servers vor, die bei den Distributionen getestet wird. xorg-server 21.1.2 wurde gestern Nachmittag offiziell vorgestellt. Diese Version behebt die vier gemeldeten Sicherheitslücken und mehrere Regressionen. Insbesondere werden die tatsächlichen physischen Abmessungen durch den X-Server nicht mehr gemeldet, da dies fehlerhaft war. Ab nun werden generell 96 DPI gemeldet, so wie es auch XWayland tut. Eine bessere Lösung für die Zukunft wäre laut Betreuer Povilas Kanapickas wäre, die Standard-DPI so zu belassen, wie sie ist, und das richtige Verhalten mit einer Kommandozeilenoption zu aktivieren (vielleicht -dpi auto oder ähnlich).

  • X.org Server 21.1.0 stabil freigegeben

    X.org-Server 21.1.0
    Logo von X11 | Lizenz: CC BY-SA 3.0

    Nach X.org Server 1.20 von 2018 ist der jetzt freigegebene X.org Server 21.1.0 die erste stabile Veröffentlichung. Seit Wayland immer mehr in den Vordergrund tritt, sinkt das Interesse an und die Bereitschaft zur Veröffentlichung von X.org. Es erwies sich lange als schwierig, einen Release-Manager für eine neue Veröffentlichung zu finden.

    Unabhängiger Entwickler

    Vor einigen Monaten begann dann der unabhängige litauische Entwickler Povilas Kanapickas, ein Release vorzubereiten und gab Anfang Juni einen Entwicklungs-Snapshot mit veränderter Versionierung als xorg-server 21.0.99.1 frei. Darauf folgte im September ein erster Release Candidate. Ein zweiter RC folgte, der jetzt vorliegende X.org Server 21.1.0 weist lediglich nur noch eine Änderung zu RC2 aus, wie Kanapickas in der Ankündigung schreibt. Sollten durch die weitere Verbreitung der stabilen Version bisher unentdeckte Fehler auftauchen, will Kanapickas diese schnell mit 21.1.1 beheben anstatt im üblichen Intervall von einigen Monaten.

    Ohne XWayland

    X.org Server 21.1.0 ist das erste Release, das ohne XWayland ausgeliefert wird, welches vor einiger Zeit wegen der Verzögerungen bei der Veröffentlichung von X.org ausgegliedert und als separates Paket veröffentlicht wurde. Peter Hutterer, Entwickler von Libinput leitet diese Entwicklung in einem sehr informativen Blogpost vereinfacht her.

    Neues Build-System

    Die neue Version 21.1.0 unterstützt Meson als Build-System jetzt vollständig. Für dieses Release wird das bisher genutzte GNU Build System autotools nochmals mit ausgeliefert, anschließend aber zugunsten von Meson entfernt. Glamor erhält Unterstützung für den Framebuffer Xvfb sowie für XInput 2.4, das Touchpad-Gesten mitbringt. Zudem neu werden variable Bildwiederholraten im Modesetting-Treiber unterstützt. Der DMX DDX-Treiber von X.Org zur Unterstützung von Distributed Multi-Head X wurde entfernt, nachdem der Code bereits seit vielen Jahren nicht mehr richtig funktioniert. Der X-Server meldet zudem nun in mehr Fällen die korrekte DPI-Anzeige, was das Rendering von Client-Anwendungen auf High-DPI-Bildschirmen beeinflussen kann.

  • Erster RC für X.org Server 21.1.0

    X.org-Server

    Das letzte hauptamtliche Release des X.org Servers erfolgte 2018 mit Version 1.20. Mit der zunehmenden Hinwendung zu Wayland ist Red Hat nicht mehr daran interessiert, wie früher das Release-Management für X.org zu übernehmen. Lange fand sich auch keine andere Organisation oder ein Entwickler für die Aufgabe.

    Nach Jahren Release in Sicht

    Das änderte sich vor einigen Monaten, als der unabhängige litauische Entwickler Povilas Kanapickas begann, ein Release vorzubereiten und Anfang Juni einen Entwicklungs-Snapshot mit veränderter Versionierung als xorg-server 21.0.99.1 freigab. Jetzt liegt, knapp hinter dem Zeitplan, ein erster Release Candidate vor. Kanapickas will, sofern notwendig, etwa vierzehntäglich weitere RCs veröffentlichen.

    Ohne XWayland

    X.org Server 21.1.0 wird das erste Release sein, das ohne XWayland ausgeliefert wird, welches vor einiger Zeit wegen der Verzögerungen bei der Veröffentlichung von X.org ausgegliedert und als separates Paket veröffentlicht wurde. Peter Hutterer, Entwickler von Libinput leitet diese Entwicklung in einem sehr informativen Blogpost vereinfacht her.

    Neues Build-System

    Die neue Version wird Meson als Build-System jetzt vollständig unterstützen. Für diese Release-Serie wird das bisher genutzte GNU Build System autotools nochmals mit ausgeliefert, anschließend aber entfernt. Glamor erhält Unterstützung für den Framebuffer Xvfb sowie für XInput 2.4, das Touchpad-Gesten mitbringt. Zudem neu werden variable Bildwiederholraten im Modesetting-Treiber unterstützt. Der DMX DDX-Treiber von X.Org zur Unterstützung von Distributed Multi-Head X wurde entfernt, nachdem der Code bereits seit vielen Jahren nicht mehr richtig funktioniert. Der X-Server meldet zudem nun in mehr Fällen die korrekte DPI-Anzeige, was das
    Rendering von Client-Anwendungen auf High-DPI-Bildschirmen beeinflussen kann. Der Ankündigung ist ein vollständiges Changelog angehängt.

  • XWayland 21.1 von X11 abgekapselt

    XWayland 21.1 von X11 abgekapselt

    X11 ist in die Jahre gekommen, aber noch lange nicht vom Tisch, denn Wayland kann noch nicht unter allen Umständen als vollwertiger Ersatz dienen. Allerdings stockt die Entwicklung von X11 und die Veröffentlichung von X.Org Server 1.21 hängt bereits seit Längerem in der Schwebe, da niemand sich zuständig fühlt.

    Red Hat hat kein Interesse mehr an X.Org

    Die Veröffentlichungen und die nötige Pflege von Veröffentlichungen des X.Org Server wurden früher oft von Red Hat-Entwicklern betreut, deren Zeit aber jetzt von Wayland gebunden wird. Darunter hatte das Paket XWayland zu leiden, dessen Weiterentwicklungen nicht zeitnah zu den Anwendern gelangte, da XWayland zusammen mit X.Org Server ausgeliefert wurde.

    XWayland ist ein vollwertiger X-Server, der bei X11-kompatiblen Anwendungen für eine Zwischenschicht sorgt, indem er Bilddaten an den Wayland-Compositor durchreicht. Ein Entwicklungsziel für Fedora 34 war, XWayland als eigenständiges Paket zu etablieren, sodass Änderungen schneller veröffentlicht werden können.

    Technisch einfach umzusetzen

    XWayland verfügt über keinen geräteabhängigen Treiber, der zur Laufzeit geladen wird und lädt auch kein Modul, sodass es nicht durch die Xorg-API-Versionierung eingeschränkt ist wie der Rest von X.org. Technisch gesehen spricht also nichts dagegen, XWayland als eigenständiges, separates Paket auf Git-Master zu bauen, während der Rest des X.org-Server aus dem stabilen Source-Tree von Upstream kommt.

    Mit Fedora 34 ausgeliefert

    Jetzt melden die Entwickler Vollzug, gestern wurde mit XWayland 21.1.0 das erste eigenständige Release vorgelegt. Red Hats Michel Danzer gab die Veröffentlichung auf der Xorg-Ankündigungsliste bekannt, Fedora wird das neue Paket in seiner anstehenden Veröffentlichung ausliefern.

    Wann diese stattfindet, entscheidet sich heute bei der Sitzung des Fedora-Steuerungskomitee FESCo. Letzte Woche war die geplante Veröffentlichung von Fedora 34 Beta wegen ausstehender Fehler zurückgestellt worden. Heute wird sich entscheiden, ob die Beta am Ausweichtermin 23. März erscheinen wird. Die allgemeine Verfügbarkeit von Fedora 34 wird für Ende April erwartet.

  • Schlechte Aussichten für den X.org-Server

    X.org-Server
    Abandonware Logo | Quelle: abandonware.org | Lizenz: CC BY-SA 2.5

    Der Umstieg auf das nun schon nicht mehr so neue Display-Server-Protokoll Wayland dauert an und wird je nach Desktop-Umgebung auch noch eine ganze Weile brauchen, bevor die Parität der Funktionen zu X.org erklärt werden kann. So wird etwa das in Kürze erwartete Xfce 4.16 immer noch keine Wayland-Sitzung bieten. Auch bei Cinnamon sind bisher keine Entwicklungen zur Unterstützung von Wayland erkennbar.

    Als Abandonware bezeichnet

    Gleichzeitig lässt aber die Unterstützung für X.org von Entwicklerseite so stark nach, dass Intels Kernel-Entwickler und DRM-Co-Maintainer Daniel Vetter X.org kürzlich gar als Abandonware, also als vernachlässigte Software bezeichnet hat, die keine angemessene technische Unterstützung mehr erhält. Das ist eine harte Kritik, die aber laut eines Berichts auf der Plattform Phoronix nicht unangemessen erscheint.

    Entwicklungszyklus außer Kraft

    Demzufolge fand die letzte große Veröffentlichung des X.org-Server in Form von Version 1.20 im May 2018 statt. Dabei unterliegt die Entwicklung eigentlich einem halbjährlichen Veröffentlichungszyklus. Die Git-Commits sind in den letzten beiden Jahren auf dem niedrigsten Stand der letzten 20 Jahren angelangt. Gab es im Jahr 2008 noch 2.114 Commits, so waren es 2019 lediglich noch 316 Einreichungen.

    Red Hat vorne

    Obwohl Red Hat hauptsächlich Ressourcen in Wayland steckt, führt der dort beschäftigte Entwickler Adam Jackson mit 66 Commits die Liste für 2019 an, gefolgt von weiteren Red Hat Mitarbeitern. Dabei strebt Red Hat schon seit geraumer Zeit an, die Entwicklungstätigkeit einzustellen, X.org in den Wartungsmodus zu versetzen und lediglich die vorhandene Codebasis zu pflegen.

    Keine Veröffentlichung in Sicht

    Derzeit scheint keine Firma, Organisation oder Community bereit, die Veröffentlichung von X.Org-Server 1.21 vorzubereiten und zu übernehmen. Neben Red Hat ist Intel das einzige andere große Unternehmen, das überhaupt noch Ressourcen in X.org investiert. Bleibt nur zu hoffen, das Wayland bald alle gewünschte Funktionalität von X.org abbilden kann und die Entwicklung hin zu Wayland bei den Desktop-Umgebungen vorangeht.