Se han publicado versiones correctivas de X.Org Server 21.1.5 y xwayland 22.1.6, un componente DDX (Device-Dependent X) que permite el lanzamiento de X.Org Server para organizar la ejecución de aplicaciones X11 en entornos basados en Wayland. Las nuevas versiones abordan 6 vulnerabilidades que podrían explotarse para escalar privilegios en sistemas que ejecutan el servidor X como root, así como para la ejecución remota de código en configuraciones que utilizan la redirección de sesión X11 a través de SSH para el acceso.
- CVE-2022-46340: Desbordamiento de pila al procesar solicitudes XTestSwapFakeInput con datos de más de 32 bytes pasados al campo GenericEvents.
- CVE-2022-46341 Se produce un acceso al búfer fuera de los límites cuando se procesan solicitudes XIPassiveUngrab llamadas con códigos clave o valores de botones grandes.
- CVE-2022-46342: acceso a memoria de uso después de la liberación mediante la manipulación de solicitudes XvdiSelectVideoNotify.
- CVE-2022-46343: acceso a memoria de uso posterior mediante manipulación de solicitudes ScreenSaverSetAttributes.
- CVE-2022-46344 Acceso a datos fuera de los límites al procesar solicitudes XIChangeProperty con parámetros grandes.
- CVE-2022-46283: acceso a la memoria de uso posterior a la liberación mediante la manipulación de solicitudes XkbGetKbdByName.
Fuente: opennet.ru