X.Org Server 是 Linux 和其他类 Unix 操作系统的常用显示服务器,现已发现一个高危漏洞。该漏洞被标记为 CVE-2024-9632,已在代码库中潜伏长达 18 年,可能允许攻击者控制易受攻击的系统。
该漏洞存在于_XkbSetCompatMap() 函数中,该函数负责处理键盘兼容性映射。由于对内存分配大小的跟踪不当,本地攻击者可以通过向服务器发送特制的有效负载来利用此漏洞,从而触发缓冲区溢出情况。
此漏洞可能导致:
-
拒绝服务 (DoS):攻击者可能导致 X.Org 服务器崩溃,破坏图形用户界面并导致系统无法使用。
-
本地权限提升:在 X.Org 服务器以 root 权限运行的发行版中,攻击者可以获得提升的权限,从而可能完全控制系统。
-
远程代码执行:如果通过 SSH 启用 X11 转发,远程攻击者可能会利用此漏洞在目标系统上执行任意代码。
CVE-2024-9632 影响自 2006 年发布 1.1.1 版以来的所有 X.Org Server 版本,包括 XWayland。这意味着大量 Linux 和类 Unix 系统可能存在漏洞。
X.Org 基金会已发布 X.Org Server ( 21.1.14 ) 和 XWayland ( 24.1.4 ) 的修补版本来解决此漏洞。强烈建议用户立即将其系统更新至这些最新版本。
该漏洞由趋势科技零日计划的研究人员发现,并负责任地向 X.Org 安全团队披露。
原文始发于微信公众号(独眼情报):CVE-2024-9632:X.Org 服务器中存在 18 年之久的漏洞,导致系统易受攻击
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论