Уязвимости в X.Org Server и libX11

В X.Org Server и libX11 выявлены две уязвимости:

  • CVE-2020-14347 — отсутствие инициализации памяти при выделении буферов для пиксельных карт при помощи вызова AllocatePixmap() может привести к утечке X-клиенту содержимого памяти из кучи, когда X-сервер работает с повышенными привилегиями. Указанную утечку можно использовать для обхода технологии рандомизации адресного пространств (ASLR). В сочетании с другими уязвимостями проблема может использоваться при создании эксплоита для повышения привилегий в системе. Исправления пока доступны в виде патчей.
    Публикация корректирующего выпуска X.Org Server 1.20.9 ожидается в ближайшие дни.

  • CVE-2020-14344 — целочисленное переполнение в реализации XIM (Input Method) в libX11, которое может привести к повреждению областей памяти в куче при обработке специально оформленных сообщений от метода ввода.
    Проблема устранена в выпуске libX11 1.6.10.

Источник: opennet.ru