В X.Org Server са идентифицирани четири уязвимости, които позволяват ескалация на привилегиите, ако X сървърът работи с root права, или изпълнение на код на отдалечена система, ако достъпът е чрез пренасочване на X11 сесия през SSH. Очаква се проблемите да бъдат отстранени в xorg-server 21.1.2, което се очаква през следващите дни. Проблемите остават неотстранени в дистрибуциите (Debian, Ubuntu, RHEL, SUSE, Fedora, Arch).
- CVE-2021-4008 — препълване на буфера във функцията SProcRenderCompositeGlyphs. Този проблем възниква, защото обработчикът на заявки CompositeGlyphs в разширението Render неправилно валидира дължината на предадените данни. Това може да се използва за записване на произволни данни извън границите на буфера. Пуснат е пач.
- CVE-2021-4009 Препълване на буфера във функцията SProcXFixesCreatePointerBarrier, причинено от неправилна проверка на дължината на заявката в манипулатора CreatePointerBarrier, използван в разширението XFixes. Този пач отстранява този проблем.
- CVE-2021-4010 — Препълване на буфера във функцията SProcScreenSaverSuspend поради неправилна проверка на дължината на заявката за спиране в разширението Screen Saver. Издаден е пач за отстраняване на този проблем.
- CVE-2021-4011 – Препълване на буфера във функцията SwapCreateRegister поради неправилна проверка на дължината на заявките RecordCreateContext и RecordRegisterClients в разширението Record. Издаден е корекция за отстраняване на този проблем.
Източник: opennet.ru
