Alerte de sécurité X.Org : multiples vulnérabilités dans le serveur X.Org et Xwayland

 (lists.x.org)
1 points par GN⁺ 2025-11-04 | 1 commentaires | Partager sur WhatsApp
  • Le projet X.Org a annoncé une mise à jour corrigeant plusieurs vulnérabilités de sécurité découvertes dans xorg-server versions antérieures à 21.1.18 et Xwayland versions antérieures à 24.1.8
  • La première vulnérabilité (CVE-2025-62229) est un problème de use-after-free lors de la création de la structure XPresentNotify, avec un risque de réutilisation d’un pointeur après sa libération pendant le traitement d’erreur
  • La deuxième vulnérabilité (CVE-2025-62230) est un problème de use-after-free lors de la suppression des ressources client Xkb, où la fonction de suppression des ressources référence des données déjà libérées à la fermeture du client
  • La troisième vulnérabilité (CVE-2025-62231) est un problème de dépassement de valeur dans la fonction XkbSetCompatMap(), la somme des données d’entrée pouvant dépasser la plage d’un unsigned short
  • Toutes les vulnérabilités ont été corrigées dans xorg-server 21.1.19 et Xwayland 24.1.9, et X.Org a remercié les personnes ayant signalé les problèmes ainsi que les contributeurs aux correctifs

Vue d’ensemble de l’alerte de sécurité X.Org

  • Le 28 octobre 2025, X.Org a publié une alerte concernant plusieurs problèmes de sécurité découverts dans les implémentations du serveur X et de Xwayland
  • Ces problèmes ont été corrigés dans les versions xorg-server 21.1.19 et xwayland 24.1.9
  • Les vulnérabilités ont été découvertes par Jan-Niklas Sohn, en collaboration avec la Trend Micro Zero Day Initiative

CVE-2025-62229 — use-after-free dans la structure XPresentNotify

  • Lors de l’utilisation de l’extension X11 Present, si une erreur survient pendant l’ajout d’une notification après l’affichage d’un pixmap, un dangling pointer peut subsister
    • Cela peut ensuite provoquer un use-after-free lors de la destruction ultérieure de la structure de notification
  • Ce problème a été introduit dans Xorg 1.15 et corrigé dans xorg-server 21.1.19 ainsi que xwayland 24.1.9
  • Commit de correction : 5a4286b1

CVE-2025-62230 — use-after-free lors de la suppression des ressources client Xkb

  • Lors de la suppression des ressources Xkb d’un client, la fonction XkbRemoveResourceClient() ne libère que les données XkbInterest liées au périphérique, sans libérer les ressources associées
    • En conséquence, à la fermeture du client, la fonction de suppression des ressources référence des données déjà libérées, provoquant un use-after-free
  • Ce problème a été introduit dans X11R6 et corrigé dans xorg-server 21.1.19 ainsi que xwayland 24.1.9
  • Commits de correction : 99790a2c, 10c94238

CVE-2025-62231 — dépassement de valeur dans XkbSetCompatMap()

  • La structure XkbCompatMap stocke certaines valeurs sous forme de unsigned short, mais ne vérifie pas si la somme des données d’entrée peut dépasser cette plage
    • Cela peut entraîner un dépassement de valeur
  • Ce problème a été introduit dans X11R6 et corrigé dans xorg-server 21.1.19 ainsi que xwayland 24.1.9
  • Commit de correction : 475d9f49

Remerciements et diffusion

  • X.Org a remercié tous les contributeurs ayant signalé les problèmes et participé aux correctifs
  • L’alerte inclut une signature OpenPGP et un fichier de clé publique
  • Plus d’informations sont disponibles sur la mailing list xorg-announce

À lire aussi

1 commentaires

 
GN⁺ 2025-11-04
Avis sur Hacker News

  • Je me demande comment ces changements fonctionnent du côté de X11Libre/xserver
    D’après ce que j’ai compris, ils corrigent les problèmes de sécurité apparus dans X.Org
    Mais comme XLibre dit avoir corrigé des milliers de problèmes non résolus côté X.Org, je me demande si tout cela était déjà atténué

    • En regardant leur GitHub, on voit que les trois mêmes changements que dans X.Org ont été appliqués le 28 octobre, c’est-à-dire le jour de la publication de l’avis
      Ce n’était donc pas déjà corrigé, ils ont patché juste après l’annonce
    • Vu tout le travail accompli en 5 mois, XLibre semble être un projet assez actif
    • Je pense que ce projet est une tentative relevant du fantasme
      Si X.Org s’arrêtait complètement, ils n’auraient probablement pas les moyens de maintenir X11
    • Ce n’est pas ce fork qui se revendique « anti-woke » ?
      Honnêtement, on a surtout l’impression qu’une personne exprime ses frustrations personnelles à travers un fork du serveur X

  • C’est bien de trouver et corriger ce genre de vulnérabilités, mais autoriser des clients non fiables à communiquer avec le serveur X est dangereux par conception
    Surtout qu’avec des applis Tcl/Tk, on peut même envoyer directement des commandes au programme via le serveur X

    • Dans les environnements où le serveur X tourne avec plus de privilèges ou sur un autre hôte, cela peut mener à des vulnérabilités d’élévation de privilèges
      X11 n’a pratiquement aucun mécanisme de sécurité au niveau de la session utilisateur, donc mieux vaut éviter d’exécuter des programmes UI peu fiables
      L’impossibilité d’empêcher l’injection de frappes clavier ou la capture d’écran est une limite de conception, mais il ne faut pas sous-estimer ces attaques
    • Il existe encore des développeurs légendaires qui corrigent des bugs de xorg
      Alan Coopersmith avait corrigé lui-même un bug que j’avais signalé
      Si je me souviens bien, c’était probablement un problème de flag manquant dans un programme C
    • En 1996, le niveau d’intégration de Tk avec X était impressionnant
      À l’époque, on pouvait contrôler Netscape avec le MIT Magic Cookie, ce qui, avec le recul, est plutôt terrifiant
    • La commande send de Tk est dangereuse, mais on peut facilement la bloquer en la reliant à un no-op

  • Coverity est très bon pour trouver ce type de bugs
    Du coup, je me demande pourquoi un projet aussi important que X.Org ne profite pas de l’accès gratuit à cet outil

    • La raison est simple. Les personnes qui développent Wayland étaient à l’origine des développeurs X.Org
      Elles se concentrent désormais sur la création d’un nouveau moteur de transition et n’ont plus envie de consacrer leur énergie à maintenir l’ancien projet

  • La plus grande douleur de Linux, c’est le graphisme. C’est vraiment dommage

    • Je pense que c’est grâce au graphisme que Linux a dépassé 1 % de part de marché sur le desktop
      Quand le matériel pose problème, c’est compliqué, mais dans la plupart des environnements, les jeux Steam tournent presque au niveau natif
      Le problème, ce n’est pas Linux, c’est le matériel
    • Xorg est clairement complexe et difficile à gérer
      Mais ce n’est pas spécifique à Linux, on a surtout l’impression que c’est désormais une technologie legacy
    • Nos souffrances, c’est le graphisme... et l’audio... le support du Wi‑Fi...
      Au final, les trois grandes douleurs de Linux sont le graphisme, l’audio et le support matériel du Wi‑Fi
      Avec en plus cette obsession presque religieuse pour la ligne de commande

  • J’aimerais vraiment qu’on ne tue pas Xorg :(

  • Je me demande si Fil-C aurait pu empêcher le premier ou le troisième problème

    • À mon avis, ils auraient tous pu être évités

  • Je me demande comment Twitter a récupéré X.com
    À l’inverse, un projet open source aurait-il pu récupérer Twitter.org ?

    • À la fin des années 90, X.com a fusionné avec PayPal, et Elon Musk a récupéré le domaine

  • En gros, X11 ne subsiste plus vraiment que pour les anciens jeux ou le client Steam
    Le client Steam, en particulier, reste encore un exécutable 32 bits, ce qui complique davantage les choses

  • Vu que Weston fonctionne bien dans Fil-C avec du rendu logiciel, le serveur X devrait probablement aussi bien tourner dans Fil-C
    Fil-C a le plus faible surcoût sur le code centré sur les opérations bit à bit, et le plus élevé sur le code centré sur le suivi de pointeurs
    Le serveur X me semble plus proche du premier cas. Weston aussi