Publicáronse as versións correctoras de X.Org Server 21.1.5 e xwayland 22.1.6, un compoñente DDX (Device-Dependent X) que permite o lanzamento de X.Org Server para organizar a execución de aplicacións X11 en contornos baseados en Wayland. As novas versións abordan 6 vulnerabilidades que poderían ser explotadas para a escalada de privilexios en sistemas que executan o servidor X como root, así como para a execución remota de código en configuracións que usan a redirección de sesión X11 a través de SSH para o acceso.
- CVE-2022-46340: desbordamento de pila ao procesar solicitudes XTestSwapFakeInput con datos de máis de 32 bytes pasados ao campo GenericEvents.
- CVE-2022-46341 Prodúcese un acceso fóra dos límites ao búfer ao procesar solicitudes de XIPassiveUngrab chamadas con códigos de tecla ou valores de botón grandes.
- CVE-2022-46342: acceso á memoria sen uso despois da manipulación das solicitudes de XvdiSelectVideoNotify.
- CVE-2022-46343: acceso á memoria libre de uso posterior mediante a manipulación das solicitudes de ScreenSaverSetAttributes.
- CVE-2022-46344 Acceso a datos fóra dos límites ao procesar solicitudes de XIChangeProperty con parámetros grandes.
- CVE-2022-46283: acceso á memoria de uso posterior a través da manipulación de solicitudes de XkbGetKbdByName.
Fonte: opennet.ru