X.Org Server 21.1.5 および xwayland 22.1.6 の修正リリースが公開されました。これは、Wayland ベースの環境で X11 アプリケーションの実行を整理するために X.Org Server を起動できるようにする DDX コンポーネント (Device-Dependent X) です。 新しいバージョンでは、X サーバーを root として実行しているシステムでの権限昇格や、アクセスに SSH 経由の X6 セッション リダイレクトを使用する構成でのリモート コード実行に悪用される可能性がある 11 件の脆弱性に対処しています。
- CVE-2022-46340 – GenericEvents フィールドに渡される 32 バイトを超えるデータを含む XTestSwapFakeInput リクエストを処理するときにスタック オーバーフローが発生します。
- CVE-2022-46341 大きなキーコードまたはボタン値で呼び出された XIPassiveUngrab リクエストを処理するときに、境界外のバッファ アクセスが発生します。
- CVE-2022-46342 – XvdiSelectVideoNotify リクエストの操作による解放後のメモリ アクセス。
- CVE-2022-46343 – ScreenSaverSetAttributes リクエストの操作による解放後のメモリ アクセス。
- CVE-2022-46344 大きなパラメーターを含む XIChangeProperty リクエストを処理するときの範囲外のデータ アクセス。
- CVE-2022-46283 – XkbGetKbdByName リクエスト操作による解放後のメモリ アクセス。
出所: オープンネット.ru