![X.org](https://ubunlog.com/wp-content/uploads/2024/01/logo-de-xorg.png)
X.org লোগো
সম্প্রতি এটি ঘোষণা করা হয় X.Org সার্ভার 21.1.11-এর নতুন সংশোধনমূলক সংস্করণ প্রকাশ করা হয়েছে এবং এর সাথে xwayland 23.2.4-এর সংস্করণও প্রকাশ করা হয়েছে, যা ওয়েল্যান্ড-ভিত্তিক পরিবেশে X11 অ্যাপ্লিকেশনগুলি সম্পাদনের ব্যবস্থা করার জন্য X.Org সার্ভার চালু করা নিশ্চিত করে।
এটি উল্লেখ করা হয় প্রধান কারন X.Org 21.1.11-এর এই নতুন সংস্করণটির প্রকাশের জন্য এটি 6টি দুর্বলতা সংশোধন করার জন্য প্রয়োজনীয় প্যাচগুলির বাস্তবায়ন, যেগুলির মধ্যে কিছু সিস্টেমে বিশেষাধিকার বৃদ্ধির জন্য ব্যবহার করা যেতে পারে যেখানে X সার্ভার রুট হিসাবে চলছে, সেইসাথে অ্যাক্সেসের জন্য SSH-এর উপর X11 সেশন পুনঃনির্দেশ ব্যবহার করে এমন সেটআপগুলিতে রিমোট কোড এক্সিকিউশনের জন্য।
দুর্বলতার বিবরণ
CVE-2023-6816: DeviceFocusEvent এবং ProcXIQueryPointer-এ বাফার ওভারফ্লো
এই নিরাপত্তা সমস্যা, CVE-2023-6816 হিসাবে চিহ্নিত, সমস্যাটি xorg-server-1.13 (0) প্রকাশের পর থেকে স্পষ্ট হয়েছে৷ একটি অবৈধ অ্যারে সূচক পাস করার সময় বাফার ওভারফ্লো ঘটে DeviceFocusEvent বা ProcXIQueryPointer. ডিভাইসের বোতামগুলির জন্য অপর্যাপ্ত স্থান বরাদ্দের কারণে দুর্বলতার ফলে ওভারফ্লো হতে পারে।
CVE-2024-0229: একটি ভিন্ন মাস্টার ডিভাইসে পুনরায় সংযোগ করার সময় মেমরি অ্যাক্সেস সীমার বাইরে
ক্ষতিগ্রস্থতা CVE-2024-0229, প্রদর্শিত হয়েছে xorg-server-1.1.1 প্রকাশের পর থেকে (2006) এবং একটি সীমার বাইরে বাফার লেখার কারণে ঘটে একটি কনফিগারেশনে অন্য একটি মাস্টার ডিভাইসের সাথে লিঙ্ক করার মাধ্যমে যেখানে ডিভাইসটিতে বোতাম এবং কী ক্লাস ইনপুট উপাদান রয়েছে এবং বোতামের সংখ্যা (নমবাটন প্যারামিটার) 0 এ সেট করা আছে।
CVE-2024-21885: XISendDeviceHierarchyEvent এ বাফার ওভারফ্লো
ক্ষতিগ্রস্থতা CVE-2024-21885, হয়েছে xorg-server-1.10.0 প্রকাশের পর থেকে প্রদর্শিত হচ্ছে (2010) এবং একটি বাফার ওভারফ্লো হতে পারে অপর্যাপ্ত স্থান বরাদ্দের কারণে XISendDeviceHierarchyEvent যখন একটি প্রদত্ত আইডি সহ একটি ডিভাইস সরানো হয় এবং একই আইডি সহ একটি ডিভাইস একই অনুরোধে যোগ করা হয়।
দুর্বলতা উল্লেখ করা হয়েছে এই কারণে যে একটি শনাক্তকারীর জন্য একটি ডাবল অপারেশন চলাকালীন, কাঠামোর দুটি উদাহরণ লেখা হয় xXIHierarchyInfo একই সময়ে, যখন ফাংশন XISendDeviceHierarchyEvent একটি উদাহরণের জন্য মেমরি বরাদ্দ করে।
CVE-2024-21886: DisableDevice-এ বাফার ওভারফ্লো
ক্ষতিগ্রস্থতা CVE-2024-21886, প্রদর্শিত হয়েছে xorg-server-1.13.0 প্রকাশের পর থেকে (2012) এবং DisableDevice ফাংশনে একটি বাফার ওভারফ্লো অনুমতি দেয় এটি ঘটে যখন একটি মাস্টার ডিভাইস অক্ষম করা হয় যখন স্লেভ ডিভাইসগুলি ইতিমধ্যে অক্ষম থাকে। ডিভাইসের তালিকা সংরক্ষণ করার জন্য কাঠামোর আকারের একটি ভুল গণনার কারণে দুর্বলতা।
CVE-2024-0409: SELinux প্রসঙ্গ দুর্নীতি
ক্ষতিগ্রস্থতা CVE-2024-0409, xorg-server-1.16.0-এ আবিষ্কৃত হয়েছে, অতিরিক্ত ডেটা সঞ্চয় করার জন্য "প্রাইভেট" মেকানিজমের ভুল ব্যবহারের কারণে SELinux প্রসঙ্গ নষ্ট হয়ে যায়।
Xserver তার নিজস্ব বস্তুতে প্রক্রিয়া ব্যবহার করে, প্রতিটি প্রাইভেট এর সাথে একটি "টাইপ" যুক্ত থাকে। প্রতিটি "ব্যক্তিগত" প্রাসঙ্গিক মেমরি আকারের জন্য বরাদ্দ করা হয় যা সৃষ্টির সময় ঘোষণা করা হয়। এমনকি Xserver-এর কার্সার কাঠামোতে দুটি কী রয়েছে, একটি কার্সারের জন্য এবং আরেকটি বিটগুলির জন্য যা কার্সারকে আকৃতি দেয়। XSELINUX এছাড়াও ব্যক্তিগত কী ব্যবহার করে, তবে এটি একটি বিশেষ ক্ষেত্রে কারণ এটি সমস্ত ভিন্ন বস্তুর জন্য একই কী ব্যবহার করে।
এখানে যা ঘটে তা হল Xephyr এবং Xwayland উভয় ক্ষেত্রেই কার্সার কোড তৈরিতে ভুল ধরনের "প্রাইভেট" ব্যবহার করে, ব্যক্তিগত কার্সারের সাথে কার্সার বিটটাইপ ব্যবহার করে এবং কার্সার শুরু করার পরে, XSELINUX প্রসঙ্গটি ওভাররাইট করে।
CVE-2024-0408: ট্যাগবিহীন SELinux GLX PBuffer
ক্ষতিগ্রস্থতা CVE-2024-0408, xorg-server-1.10.0-এ উপস্থিত (2010), রিসোর্স X-কে ট্যাগবিহীন থাকার অনুমতি দেয়, যার ফলে স্থানীয় বিশেষাধিকার বৃদ্ধি হতে পারে। X সার্ভারে XSELINUX কোডটি একটি লিঙ্কের উপর ভিত্তি করে X সম্পদ ট্যাগ করে।
এখানে যা ঘটে তা হল GLX PBuffer কোডটি XACE হুককে কল করে না যখন এটি বাফার তৈরি করে, তাই এটি ট্যাগ করা থেকে যায়, এবং যখন ক্লায়েন্ট সেই সংস্থানটি অ্যাক্সেস করার জন্য অন্য অনুরোধ জারি করে বা যখন এটি অন্য সংস্থান তৈরি করে তখনও তাকে সেই বাফারটি অ্যাক্সেস করতে হবে , XSELINUX কোড এমন একটি বস্তু ব্যবহার করার চেষ্টা করবে যা কখনো ট্যাগ করা হয়নি এবং ব্যর্থ হয় কারণ SID NULL।
এটি উল্লেখ করা উচিত যে এই নতুন সংশোধনমূলক সংস্করণ ইতিমধ্যে উপলব্ধ প্রধান লিনাক্স ডিস্ট্রিবিউশনের বেশিরভাগ রিপোজিটরিতে এবং তাই যত তাড়াতাড়ি সম্ভব নতুন সংস্করণে আপডেট করার সুপারিশ করা হয়।
অবশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী, আপনি বিশদে পরীক্ষা করতে পারেন নিম্নলিখিত লিঙ্ক.