X.org 安全公告:多个安全问题 漏洞概述 X.org 服务器和 Xwayland 实现中发现多个安全问题,涉及以下三个漏洞: 1. CVE-2025-02229: 在 XPresentNotify 修复创建过程中,当处理并添加通知时,如果发生错误,可能会在错误代码路径中留下悬空指针,导致在稍后销毁通知结构时出现 use-after-free 漏洞。 2. CVE-2025-02230: 在移除客户端的 Xkb 资源时,函数 会释放与设备关联的 数据,但不会释放与资源关联的数据。因此,当客户端终止时,资源删除函数会触发 use-after-free 漏洞。 3. CVE-2025-02231: 在 Xkb 扩展 中, 结构使用无符号短整型存储某些值,但未检查输入数据总和是否可能超过最大无符号短整型值,导致值溢出漏洞。 影响范围 X.org X 服务器版本低于 21.1.18 Xwayland 版本低于 24.1.9 修复方案 X.org X 服务器: 升级到版本 21.1.18 或更高 Xwayland: 升级到版本 24.1.9 或更高 修复链接 CVE-2025-02229: 修复链接 CVE-2025-02230: 修复链接 CVE-2025-02231: 修复链接 发现者 Jan-Niklas Sohn 与 Trend Micro Zero Day Initiative 合作发现 其他信息 公告日期:2025年10月28日 邮件列表:xorg-announce