Wayland и его уязвимости

В новом протоколе графического сервера - Wayland , который сейчас активно набирает популярность в мире Linux, нашли целый ворох критических уязвимостей. Большая их часть связана с неправильной обработкой временных файлов и с параметрами командной строки в SWHKD (Wayland HotKey Daemon).

Из-за этих проблем, любой локальный пользователь может запускать ROOT-процессы и выполнять произвольные команды.

Найденные ошибки уже помечены как критические и опасные уязвимости, вот их список:

• CVE-2022-27815 - позволяет создавать и перезаписывать файлы в любом каталоге системы;
• CVE-2022-27814 - позволяет оперировать оператором -с;
• CVE-2022-27819 - позволяет загружать файлы конфигурации без проверки размера и типа файла;
• CVE-2022-27818 - можно использовать для генерации и перехвата нажатия клавиш;
• CVE-2022-27817 - открывает доступ к перехвату событий;
• CVE-2022-27816 - аналогична первой, но менее опасна.

Проблемы были выявлены при анализе отчетов пользователей дистрибутива OpenSuse, но они затрагивают всех пользователей Linux использующих протокол Wayland. В данный момент все перечисленные уязвимости находятся в стадии анализа, но поскольку они уже получили кодовые имена, то они вероятнее всего будут исправлены в ближайшее время.

#технологии #linux #линукс #wayland