Des versions correctives de X.Org Server 21.1.5 et xwayland 22.1.6 ont été publiées, un composant DDX (Device-Dependent X) qui permet le lancement de X.Org Server pour organiser l'exécution d'applications X11 dans des environnements basés sur Wayland. Les nouvelles versions corrigent 6 vulnérabilités qui pourraient potentiellement être exploitées pour une élévation de privilèges sur les systèmes exécutant le serveur X en tant que root, ainsi que pour l'exécution de code à distance dans des configurations qui utilisent la redirection de session X11 via SSH pour l'accès.
- CVE-2022-46340 – Débordement de pile lors du traitement des requêtes XTestSwapFakeInput avec des données supérieures à 32 octets transmises au champ GenericEvents.
- CVE-2022-46341 Un accès au tampon hors limites se produit lors du traitement des requêtes XIPassiveUngrab appelées avec des valeurs de code clé ou de bouton importantes.
- CVE-2022-46342 – accès à la mémoire après libération via la manipulation des requêtes XvdiSelectVideoNotify.
- CVE-2022-46343 – accès à la mémoire après utilisation via la manipulation des requêtes ScreenSaverSetAttributes.
- CVE-2022-46344 Accès aux données hors limites lors du traitement des requêtes XIChangeProperty avec des paramètres volumineux.
- CVE-2022-46283 – accès à la mémoire après libération via la manipulation de requête XkbGetKbdByName.
Source: opennet.ru