Avaldatud on X.Org Serveri 21.1.5 ja xwayland 22.1.6 parandusväljaanded – DDX-komponent (Device-Dependent X), mis võimaldab käivitada X.Org Serveri, et korraldada X11 rakenduste täitmist Waylandi-põhistes keskkondades. Uued versioonid käsitlevad 6 haavatavust, mida võidakse potentsiaalselt ära kasutada privileegide suurendamiseks süsteemides, mis kasutavad X-serverit administraatorina, samuti koodi kaugkäitamiseks konfiguratsioonides, mis kasutavad juurdepääsuks X11 seansi ümbersuunamist SSH kaudu.
- CVE-2022-46340 – virna ületäitumine, kui töödeldakse XTestSwapFakeInput päringuid, mille andmed on suuremad kui 32 baiti, mis edastatakse väljale GenericEvents.
- CVE-2022-46341 Suurte võtmekoodi või nupu väärtustega kutsutud XIPassiveUngrabi taotluste töötlemisel ilmneb piiridest väljapääs puhvrile.
- CVE-2022-46342 – mälu kasutamine pärast vaba juurdepääsu XvdiSelectVideoNotify taotlustega manipuleerimise kaudu.
- CVE-2022-46343 – vaba juurdepääs mälule ScreenSaverSetAttributes taotlustega manipuleerimise kaudu.
- CVE-2022-46344 Piiramatu juurdepääs andmetele suurte parameetritega XIChangeProperty päringute töötlemisel.
- CVE-2022-46283 – mälule pärast vaba juurdepääsu kasutamine päringu XkbGetKbdByName manipuleerimise kaudu.
Allikas: opennet.ru