Korrigerende udgivelser af X.Org Server 21.1.5 og xwayland 22.1.6 er blevet offentliggjort, en DDX-komponent (Device-Dependent X), der muliggør lanceringen af X.Org Server til at organisere udførelsen af X11-applikationer i Wayland-baserede miljøer. De nye versioner adresserer 6 sårbarheder, der potentielt kan udnyttes til privilegieeskalering på systemer, der kører X-serveren som root, samt til fjernudførelse af kode i konfigurationer, der bruger X11-sessionsomdirigering via SSH til adgang.
- CVE-2022-46340 – Stakoverløb ved behandling af XTestSwapFakeInput-anmodninger med data større end 32 bytes videregivet til GenericEvents-feltet.
- CVE-2022-46341 En bufferadgang uden for grænserne opstår ved behandling af XIPassiveUngrab-anmodninger kaldet med store nøglekoder eller knapværdier.
- CVE-2022-46342 – brug-efter-fri hukommelsesadgang via manipulation af XvdiSelectVideoNotify-anmodninger.
- CVE-2022-46343 – brug-efter-fri hukommelsesadgang via manipulation af ScreenSaverSetAttributes-anmodninger.
- CVE-2022-46344 Out-of-bounds dataadgang ved behandling af XIChangeProperty-anmodninger med store parametre.
- CVE-2022-46283 – brug-efter-fri hukommelsesadgang via XkbGetKbdByName-anmodningsmanipulation.
Kilde: opennet.ru