Die korrigierenden Versionen X.Org Server 21.1.5 und xwayland 22.1.6 wurden veröffentlicht. DDX (Device-Dependent X) ermöglicht den Start des X.Org Servers zur Ausführung von X11-Anwendungen in auf Wayland basierenden Umgebungen. In den neuen Versionen wurden 6 Sicherheitsanfälligkeiten behoben, die potenziell zur Erhöhung von Rechten in Systemen ausgenutzt werden können, in denen der X-Server mit Root-Rechten ausgeführt wird, sowie zur Ausführung von Code aus der Ferne in Konfigurationen, in denen der Zugriff durch SSH-Umleitungen von X11-Sitzungen erfolgt.
- CVE-2022-46340 — Stack Overflow bei der Verarbeitung von XTestSwapFakeInput-Anfragen mit Daten im GenericEvents-Feld, die länger als 32 Bytes sind.
- CVE-2022-46341 — Zugriff auf einen Bereich außerhalb der Buffer-Grenzen bei der Verarbeitung von XIPassiveUngrab-Anfragen, die mit großen Werten von Tastencodes oder Tasten ausgelöst werden.
- CVE-2022-46342 — Zugriff auf Speicher nach seiner Freigabe (Use-After-Free) durch Manipulation mit XvdiSelectVideoNotify-Anfragen.
- CVE-2022-46343 — Zugriff auf Speicher nach seiner Freigabe (Use-After-Free) durch Manipulation mit ScreenSaverSetAttributes-Anfragen.
- CVE-2022-46344 — Zugriff auf Daten in einem Bereich außerhalb der Buffer-Grenzen bei der Verarbeitung von XIChangeProperty-Anfragen mit großen Parametern.
- CVE-2022-46283 – Zugriff auf den nach der Freigabe wiederverwendeten Speicher (Use-after-free) durch Manipulation mit XkbGetKbdByName-Anfragen.
Quelle: opennet.ru
