El 2 de juny de 2026 el projecte OpenBSD va publicar l’errata 037 per a la versió 7.8, una correcció de seguretat que toca quatre extensions del servidor X: dri2, sync, saver i Xkb. L’avís afecta totes les arquitectures suportades i ve acompanyat d’un pegat de codi font signat.
Què es corregeix
El servidor X d’OpenBSD forma part de Xenocara, la versió del projecte de l’stack gràfic d’X.Org. L’errata agrupa diversos errors repartits per aquestes quatre extensions. L’avís oficial els descriu com a “múltiples vulnerabilitats” sense detallar la categoria exacta de cadascun ni assignar identificadors CVE.
Aquestes extensions no són noves a la llista de problemes. dri2 gestiona la integració directa amb el renderitzat 3D, sync coordina la temporització entre clients, saver controla l’estalvi de pantalla i Xkb maneja la distribució de teclat. Les quatre arrosseguen un llarg historial d’errors de gestió de memòria al codi d’X, i han estat font recurrent d’errors explotables de manera local.
A qui afecta
El problema viu al servidor X, així que toca qualsevol instal·lació d’OpenBSD 7.8 que executi un entorn gràfic. Si treballes només a la consola, sense X engegat, el risc directe és menor.
El vector rellevant aquí és local. Un procés o usuari que ja pugui parlar amb el servidor X podria aprofitar aquests errors. Per la seva naturalesa, les extensions d’X són un objectiu clàssic per escalar privilegis o sortir d’un context restringit, perquè el servidor sol córrer amb permisos elevats. L’avís no recull explotació remota ni atacs actius.
Gravetat
El projecte no assigna una puntuació CVSS formal a les seves errates, i tampoc hi ha CVE públics associats a aquesta. La classifiquem com a gravetat mitjana: són errors de gestió de memòria amb vector local, sense proves d’explotació en circulació i sense accés remot directe. Tot i això, l’historial de les extensions d’X fa que valgui la pena pegar sense demora, sobretot en màquines multiusuari o en equips on executis programari de tercers sense confiança plena.
Com aplicar el pegat
OpenBSD distribueix la correcció com a pegat de codi font, no com a binari. El fitxer signat és a:
https://ftp.openbsd.org/pub/OpenBSD/patches/7.8/common/037_xserver.patch.sigEl procediment habitual és baixar el pegat, verificar la signatura, aplicar-lo sobre l’arbre de fonts i recompilar el servidor X. Si prefereixes no compilar a mà, syspatch lliura aquesta correcció com a pegat binari a les arquitectures on està disponible, que és la via més còmoda per a la majoria d’instal·lacions.
Després d’aplicar-lo convé reiniciar la sessió gràfica perquè el servidor X pegat entri en ús.
Si administres OpenBSD, repassa la fitxa d’OpenBSD per veure versions i cicle de suport, i mantén el sistema en una branca que segueixi rebent errates.