ГлавнаяБаза уязвимостей БДУ → BDU:2024-03132
6.4высокая

BDU:2024-03132 (CVE-2024-31080)

Уязвимость функции ProcXIGetSelectedEvents() сервера X Window System Xorg-server, позволяющая нарушитель получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2024-04-22
Описание

Уязвимость функции ProcXIGetSelectedEvents() сервера X Window System Xorg-server связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Linux Enterprise High Performance Computing (15 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Red Hat Enterprise Linux (9)Suse Linux Enterprise Server (15 SP2-LTSS)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Enterprise Storage (7.1)Suse Linux Enterprise Server (15 SP3-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP3-LTSS)РОСА Кобальт (7.9)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Basesystem (15 SP5)SUSE Linux Enterprise Module for Development Tools (15 SP5)SUSE Linux Enterprise Workstation Extension (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP4-ESPOS)
Способ устранения

Использование рекомендаций:
Для xorg-server:
https://gitlab.freedesktop.org/xorg/xserver/-/commit/96798fc1967491c80a4d0c8d9e0a80586cb2152b
https://lists.x.org/archives/xorg-announce/2024-April/003497.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/P73U4DAAWLFZAPD75GLXTGMSTTQWW5AP/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-31080

Для Ubuntu:
https://ubuntu.com/security/CVE-2024-31080

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-31080

Для программных продуктов Novell.Inc:
https://www.suse.com/security/cve/CVE-2024-31080.html

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения xorg-server до версии 2:1.20.11-1+deb11u13.osnova1

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет xorg-server до 2:1.20.14-1ubuntu1astra.se51 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2483

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2482

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2483

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2482

Для ОС Astra Linux:
- обновить пакет xorg-server до 2:21.1.7-1ubuntu4astra.se28 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет xwayland до 2:23.2.6-1ubuntu0.4astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
- обновить пакет xorg-server до 2:21.1.7-1ubuntu4astra.se28 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет xwayland до 2:23.2.6-1astra.se2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9093?lang=ru

Оценка CVSS
Балл6.4 — высокая опасность
Источники и патчи
https://ubuntu.com/security/CVE-2024-31080https://security-tracker.debian.org/tracker/CVE-2024-31080https://bugzilla.redhat.com/show_bug.cgi?id=2271997https://access.redhat.com/security/cve/CVE-2024-31080http://bodhi.fedoraproject.org/updates/FEDORA-2024-01a9916e9ehttps://gitlab.freedesktop.org/xorg/xserver/-/commit/96798fc1967491c80a4d0c8d9e0a80586cb2152bhttps://lists.x.org/archives/xorg-announce/2024-April/003497.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/P73U4DAAWLFZAPD75GLXTGMSTTQWW5AP/
Проверьте безопасность своего сайта и почты → Полная проверка домена