80.000 Zeilen blanker Terror

https://www.phoronix.com/news/XOrg-Vulnerabilities-Since-1988

Made public today was CVE-2023-43785 as an out-of-bounds memory access within the libX11 code that has been around since 1996. A second libX11 flaw is stack exhaustion from infinite recursion within the PutSubImage() function of libX11… This vulnerability has been around since X11R2 in February of 1988. A third libX11 vulnerability made public today is an integer overflow within XCreateImage() that leads to a heap overflow… That too has been around since X11R2 in 1988.

Immer noch sehr viele Linux-Distributionen verlassen sich auf das X11 Protokoll, aber dieses ist notorisch unsicher –  “80,000 lines of sheer terror“, sagte ein Sicherheitsforscher dazu. 35 Jahre alte Fehler, die erst jetzt veröffentlicht werden! Man muss es schon sagen, die Tatsache, dass über lange Zeit Linux-Systeme mangels Verbreitung kaum angegriffen wurden, hat offenbar zu einer gewissen Laxheit in Bezug auf Sicherheitsthemen bei den Linux-Entwicklern geführt.

Abhilfe ist jedoch in Sicht, immer mehr Distributionen stellen auf Wayland um, welches das X11 Protokoll durch ein sicheres, modernes und einfacheres Protokoll ersetzt. Problematisch daran ist allenfalls, dass das dazu führen könnte, dass die Pflege von X11 noch mehr vernachlässigt wird, obwohl die Adaption von Wayland bisher recht schleppend verläuft.