X.Org Server 21.1.22、5件の新たな脆弱性で緊急リリース

また、X.Orgに新たな穴が開いた。5件の脆弱性が一度に公表され、古いものはX11R6.6時代まで遡る。12年以上前から警告され続けてきたコードベースが、今なお同じ場所で足を取られている。

公開された5件のCVE、古傷は20年以上前から

2026年4月14日、X.Org財団はセキュリティ勧告を公開し、X.Org Server 21.1.22とXWayland 24.1.10をリリースした。対象は5件の脆弱性で、いずれもトレンドマイクロのゼロデイ・イニシアチブ(Zero Day Initiative)と協力するヤン・ニクラス・ゾーン(Jan-Niklas Sohn)によって発見されたものだ。

勧告の内容を整理すると、穴の種類はバラバラに見えて、根は似ている。XKB（キーボード拡張）に集中する整数アンダーフロー、境界外読み取り、バッファオーバーフロー。それにXSYNC拡張のUse-after-freeが1件。要するに、境界チェックを書き忘れる、あるいは更新し忘れるという、C言語のサーバーコードで30年間繰り返されてきた類の失敗である。

XKB（X Keyboard Extension）は、キーマップやモディファイアの扱いを拡張するための機構で、Xサーバーの中でも特に癖のある部分として知られている。構造体の寿命や参照カウントの管理が複雑で、今回のように「ひとつ修正するとその周辺から芋づる式に見つかる」という展開になりやすい領域だ。

なかでも古いのはCVE-2026-34000とCVE-2026-34002、そしてCVE-2026-34003の3件で、X11R6.6のXorgベースラインの時代から存在していた。X11R6.6のリリースは2001年4月。つまり、25年近く誰にも気づかれずにそこにあり続けたコードが、今になって次々と掘り起こされているということだ。

影響は「未初期化メモリの読み取り」が中心

今回の脆弱性で主に起きるのは、攻撃者が細工したリクエストを投げることで未初期化メモリを読み取れるという事象だ。単独でリモートからシェルを取れるタイプの派手な欠陥ではない。ただ、情報漏洩のプリミティブとしては十分で、他の脆弱性と組み合わされれば権限昇格や脱出の足がかりになりうる。

XSYNCのUse-after-free（CVE-2026-34001）だけは性質が少し異なり、解放済みメモリを参照する典型的な道具立てだ。こちらはX.Org Server 1.9.0から存在していたというから、これも16年越しの置き土産である。

重要なのはもうひとつ。今回の修正はXWaylandにも波及している。XWaylandはWayland環境下でX11クライアントを動かすための互換レイヤーで、「Waylandに移ったから安全」と思っている利用者も、Steamやいくつかのレガシーアプリを動かしている限り、このコードから逃げ切れていない。

12年前の警告と、変わらない景色

Phoronixの記事でマイケル・ラレベル(Michael Larabel)が指摘しているのは、ちょっと苦い話だ。2013年末、IOActiveの研究者イリヤ・ファン・スプルンデル(Ilja van Sprundel)は30C3で「X Security: It's worse than it looks(X.Orgのセキュリティは、見た目以上にひどい)」と題した発表を行い、数か月で120件以上のバグを見つけたと報告した。それから12年以上が経った今も、その指摘はそのまま通用する。

コードベースは古い。メンテナは少ない。それでもX.Orgは動き続けている。なぜか。エンタープライズのディストリビューションが売り物にRHELやSLESを含めていて、サポート義務を負っているからだ。Red Hatやその周辺は、Wayback＋XWaylandへ移行したあとも、XorgそのものをベアメタルXとして提供し続ける責任から簡単には降りられない。Phoronixのフォーラムでも、この構造を冷静に指摘する書き込みが並んだ。

一方で、Wayland陣営からの反応は予想通り辛辣だった。「X.OrgとXWaylandの話を聞くのは、脆弱性が見つかるときだけだ」と言うユーザー。「コブラ会風に言えば、X.Orgは決して終わらない」と揶揄する画像を貼るユーザー。そして、X.OrgからフォークされたXlibreに期待を寄せる声と、その開発スタイルを冷ややかに見る声が、いつもの比率で混ざっていた。

コメント欄にはもうひとつ、冷静な擁護もあった。

「退屈な古いコードベースには、退屈な古いコードベースの美徳がある。厳格な規律と派手な抽象化の拒否が、予測可能で歴戦の信頼性を生む」。今回のようにバグが次々と出てくる状況でこの擁護を書けるのは、それなりに筋が通っている。古いコードが悪いのではなく、古いコードを誰が責任を持って読み続けているかが問題なのだ。

それでも、残り続ける理由

XWaylandが標準になり、主要なデスクトップ環境がWayland優先へ舵を切ってから数年が経つ。にもかかわらず、X.Org Serverは保守を続けるに値する存在であり続けている。Steamのネイティブ対応が遅れ、一部の業務用アプリがX11に縛られ、RDPやVNC周りの成熟度にも差がある。現実は、理想より少し遅い速度で動く。

今回のリリースが教えてくれるのは、「古いから危ない」でも「新しいから安全」でもない。誰かが読まないコードは、何年経っても腐り続ける、というだけのことだ。ヤン・ニクラス・ゾーンのような外部の目がなければ、この5件は今日も静かに動き続けていたはずである。

影響を受けるのは21.1.22より前のX.Org Serverと、24.1.10より前のXWayland。ディストリビューションのパッケージ更新が降りてくるまで少し待つことになるが、RHELやDebianを使っているなら、そう遠くないうちに降りてくるだろう。X11を完全に捨てきれていない環境では、素直に当てておく類のアップデートだ。

今回の修正コミットは、xorg-server-21.1.22とserver-21.1-branchの両方に適用されている。XKB周りのチェック追加、CheckSetGeomの境界確認、miSyncTriggerFenceの解放順序見直しなど、いずれも局所的な手当てで、アーキテクチャの見直しには踏み込んでいない。応急処置であって、治療ではない。

12年前の警告は、今もまだ有効である。そしておそらく、あと10年経っても同じことを言う誰かがいるはずだ。

参照元

• X.Org公式セキュリティ勧告 - xorg-devel mailing list

他参照

• Phoronix - X.Org Server 21.1.22 Released Due To Five New Security Vulnerabilities

関連記事

• トーバルズ、Linux 7.1で2件のプルリクエストを差し戻し
• Redox OSがLLM生成コードを全面拒否、議論の余地なし
• 21年越しの要望がマージ、KDEが画面ごと仮想デスクトップ実装
• Linux 7.0リリース——Rust正式採用、AIが新常態へ
• Linux 7.0、Zen 3の誤検知エラーを土壇場で抑制
• Flatpakに致命的な脆弱性、サンドボックスを完全に突破される
• Firefox 149.0.2公開、5件の高深刻度脆弱性を修正
• トーバルズ、Linux 7.0来週リリースへ　rc7で最終確認
• 悪意あるUSBを検出するLinuxカーネルドライバが登場
• Red Hat流出メモ──AI全面移行を全エンジニアに号令