Co znajdziesz w tym artykule?
- 1 Wprowadzenie do problemu / definicja luki
- 2 W skrócie
- 3 Kontekst / historia / powiązania
- 4 Analiza techniczna / szczegóły luki
- 5 Praktyczne konsekwencje / ryzyko
- 6 Rekomendacje operacyjne / co zrobić teraz
- 7 Różnice / porównania z innymi przypadkami (jeśli dotyczy)
- 8 Podsumowanie / kluczowe wnioski
- 9 Źródła / bibliografia
Wprowadzenie do problemu / definicja luki
6 listopada 2025 r. Fedora udostępniła aktualizację xorg-x11-server do wersji 21.1.20 dla Fedora 42, która eliminuje trzy nowe luki w X.Org/Xwayland: CVE-2025-62229, CVE-2025-62230 i CVE-2025-62231. Pakiet został zbudowany w ramach zgłoszenia FEDORA-2025-43c76ece40 i jest dostępny przez system aktualizacji Bodhi/DNF. Aktualizacja podbija wersję serwera X i zawiera poprawki bezpieczeństwa dostarczone upstream przez X.Org.
W skrócie
- Dotknięte komponenty: X.Org X server (Xorg) oraz Xwayland.
- Wersja naprawcza (Fedora 42): 21.1.20-1.fc42.
- Vektory ataku: głównie lokalne – złośliwy lub skompromitowany klient X11 może spowodować use-after-free lub nadpisanie pamięci w serwerze X.
- Skutki: awarie (DoS) lub potencjalnie wykonanie kodu w kontekście serwera X.
- Działaj teraz: zaktualizuj pakiety i zrestartuj sesję graficzną/menedżer logowania.
Kontekst / historia / powiązania
X.Org pozostaje krytycznym elementem stosu graficznego na Linuksie – nawet w dystrybucjach domyślnie używających Waylanda, ponieważ Xwayland utrzymuje kompatybilność z aplikacjami X11. W 2025 r. X.Org kilkukrotnie poprawiał błędy klasy memory safety, a dystrybucje (w tym Fedora) backportują te poprawki do stabilnych wydań. Najnowszy update dla F42 scala poprawki z upstream i udostępnia je poprzez Bodhi.
Analiza techniczna / szczegóły luki
CVE-2025-62229 — use-after-free w obsłudze powiadomień X11 Present
Błąd w logice tworzenia powiadomień Present może pozostawić „dangling pointery” i prowadzić do use-after-free, skutkując korupcją pamięci lub crashem serwera X/Xwayland. Atakujący może wywołać błąd, generując odpowiednio spreparowane powiadomienia Present.
CVE-2025-62230 — use-after-free w czyszczeniu zasobów XKB
Niewłaściwa obsługa sprzątania zasobów klienta w rozszerzeniu XKB prowadzi do wcześniejszego zwolnienia struktur bez poprawnego odłączenia powiązanych obiektów. Skutkiem jest use-after-free, który może ujawnić się przy rozłączaniu się klienta.
CVE-2025-62231 — przepełnienie (overflow) w XkbSetCompatMap
Brak właściwych kontroli zakresów podczas przetwarzania danych wejściowych do funkcji XkbSetCompatMap() może spowodować nadpisanie pamięci lub awarię. Problem dotyczy rozszerzenia XKB i może być wyzwalany specjalnie spreparowanymi danymi od klienta.
Wersja naprawcza i pakietowanie (Fedora 42)
Fedora podniosła pakiet xorg-x11-server do 21.1.20-1.fc42 w ramach aktualizacji FEDORA-2025-43c76ece40, opisanej jako „Update to xserver 21.1.20, CVE fix for: CVE-2025-62229, CVE-2025-62230, CVE-2025-62231”.
Praktyczne konsekwencje / ryzyko
- Priorytet: średni–wysoki w środowiskach z wieloma użytkownikami na tym samym hoście, z X11 forwarding lub z nieufnymi klientami (np. CI, VDI, laby).
- Model ataku: lokalny (z poziomu klienta X), ale skutki mogą obejmować DoS i potencjalny RCE w procesie serwera X/Xwayland.
- Zakres: dotyczy zarówno klasycznego Xorg, jak i Xwaylanda – praktycznie wszystkich stacji roboczych korzystających z aplikacji X11 na Fedorze 42.
Rekomendacje operacyjne / co zrobić teraz
- Zaktualizuj system (Fedora 42):
sudo dnf upgrade --advisory FEDORA-2025-43c76ece40 # lub pełna aktualizacja sudo dnf upgrade --refreshNastępnie zrestartuj sesję graficzną (wylogowanie/logowanie) lub przeładuj menedżer logowania (gdm/sddm/lightdm), aby nowe biblioteki/serwer zostały wczytane. - Zweryfikuj wersję:
rpm -q xorg-x11-server # oczekiwane: xorg-x11-server-21.1.20-1.fc42 - Zmniejsz powierzchnię ataku (best practices):
- Wyłącz/ogranicz X11 forwarding w SSH lub używaj trybu
ForwardX11Trusted=notylko w razie potrzeby. - Preferuj Waylanda tam, gdzie to możliwe; jeśli aplikacje X11 są niezbędne, uruchamiaj je przez Xwayland (izolacja per-proces).
- Monitoruj logi (
journalctl -b | grep -i Xorg\|Xwayland) po aktualizacji, czy nie pojawiają się crashe/ostrzeżenia. - Egzekwuj aktualizacje także na systemach headless z pakietami Xvfb/Xwayland.
- Wyłącz/ogranicz X11 forwarding w SSH lub używaj trybu
Różnice / porównania z innymi przypadkami (jeśli dotyczy)
W 2025 r. X.Org łatał też inne błędy pamięci w komponentach XKB/kompozytora (m.in. use-after-free i przepełnienia bufora) – omawiane tu CVE wpisują się w ten trend: błędy walidacji długości/żywotności obiektów w rozszerzeniach X11 skutkujące korupcją pamięci. Aktualizacja 21.1.20 w Fedorze 42 konsoliduje poprawki konkretnie dla CVE-2025-62229/-62230/-62231.
Podsumowanie / kluczowe wnioski
- Fedora 42 wydała szybką aktualizację do xserver 21.1.20, eliminując trzy świeże luki w X.Org/Xwayland.
- Ataki są głównie lokalne, ale mogą skutkować poważnymi konsekwencjami (DoS/RCE).
- Zaktualizuj pakiety i zrestartuj środowisko graficzne – to najprostszy i najskuteczniejszy krok ograniczający ryzyko.
Źródła / bibliografia
- Fedora Bodhi — FEDORA-2025-43c76ece40: opis aktualizacji do 21.1.20 i listy CVE. (bodhi.fedoraproject.org)
- Debian Security Tracker — CVE-2025-62229: opis use-after-free w Present. (security-tracker.debian.org)
- Debian Security Tracker — CVE-2025-62231: opis overflow w XkbSetCompatMap. (security-tracker.debian.org)
- cve.org — CVE-2025-62230: opis use-after-free w czyszczeniu zasobów XKB. (cve.org)
- LinuxSecurity Advisory (link od użytkownika) — streszczenie wydania dla Fedora 42. (Linux Security)