Vi har udgivet patch-udgivelser af X.Org Server 21.1.5 og xwayland 22.1.6, Device-Dependent X (DDX)-komponenten, der gør det muligt for X.Org Server at køre X11-applikationer i Wayland-baserede miljøer. De nye versioner retter seks sårbarheder, der potentielt kan udnyttes til at eskalere privilegier på systemer, der kører X-serveren som root, og til at udføre kode eksternt på konfigurationer, der bruger SSH-baseret X6-sessionsvideresendelse til adgang.
- CVE-2022-46340 - Stackoverløb ved behandling af XTestSwapFakeInput-anmodninger med data større end 32 bytes sendt til GenericEvents-feltet.
- CVE-2022-46341 - Der opstår adgang uden for grænserne ved håndtering af XIPassiveUngrab-anmodninger kaldet med store nøgle- eller knapkodeværdier.
- CVE-2022-46342 - Use-after-free-sårbarhed i manipulation af XvdiSelectVideoNotify-anmodninger.
- CVE-2022-46343 - Use-after-free-sårbarhed i manipulation af ScreenSaverSetAttributes-anmodninger.
- CVE-2022-46344 - Dataadgang uden for grænserne ved håndtering af XIChangeProperty-anmodninger med store parametre.
- CVE-2022-46283 - Use-after-free-sårbarhed i manipulation af XkbGetKbdByName-anmodninger.
Kilde: opennet.ru
