X.Org только что выпустил новые обновления для системы безопасности как сервера X.Org, так и Xwayland, устраняющие пять недавно обнаруженных уязвимостей в устаревшем, но все еще поддерживаемом стеке отображения.
Эти проблемы затрагивают версии сервера X.Org до 21.1.22 и версии Xwayland до 24.1.10. Уязвимости, обозначенные как CVE-2026-33999–CVE-2026-34003, включают в себя переполнение целого числа в XKB, два случая выхода за границы при чтении в XKB, использование XSYNC после освобождения памяти и переполнение буфера в XKB.
Обновленные версии — xorg-server 21.1.22 и xwayland 24.1.10. Это важно, потому что, несмотря на то, что большая часть разработок для настольных компьютеров на базе Linux теперь сосредоточена на Wayland, поддержка X.Org по-прежнему ведется. Конечно, речь идет не о новых функциях, а о поддержании безопасности кода за счет регулярного обслуживания.
Тем не менее постоянная поддержка важна для многих пользователей, поскольку Xwayland остается ключевой частью современных настольных компьютеров на базе Linux. Даже в системах, которые в основном используют Wayland, Xwayland часто необходим для запуска приложений X11. Таким образом, проблемы с безопасностью в общем коде затрагивают не только пользователей X.Org, но и тех, кто использует Wayland и полагается на Xwayland для обеспечения совместимости.
Подводя итог, можно сказать, что X.Org до сих пор время от времени получает обновления, в основном из-за того, что в его устаревшей кодовой базе продолжают появляться новые уязвимости. Хорошо это или плохо, но часть экосистемы настольных компьютеров Linux по-прежнему опирается на устаревшую инфраструктуру.
Более подробную информацию можно найти в объявлениях здесь и здесь. Подробная информация о CVE здесь.
Выводы
- X.Org по-прежнему активно поддерживается, несмотря на распространённое мнение о его «смерти» — разработчики продолжают выпускать обновления и исправления безопасности.
- Обнаруженные уязвимости (в данном случае — 5 новых CVE) подтверждают, что кодовая база остаётся сложной и уязвимой, во многом из-за своего возраста и наследия прошлых десятилетий.
- Проблемы затрагивают как сам X-сервер, так и XWayland, что важно для современных Linux-систем, где используется совместимость с X11.
- Уязвимости могут приводить к утечкам данных, сбоям (DoS) и потенциально более серьёзным последствиям, поэтому обновление системы критически важно.
- Факт регулярного появления новых багов усиливает аргументы в пользу перехода на более современную графическую систему — Wayland, которая считается более безопасной архитектурно.
- Тем не менее, X.Org остаётся важным компонентом экосистемы Linux из-за широкой совместимости и пока не может быть полностью заменён во всех сценариях.
Итог: X.Org «жив», но его безопасность остаётся слабым местом — обновляться нужно обязательно, а долгосрочная перспектива всё больше смещается в сторону Wayland.