Ir publicēti X.Org Server 21.1.5 un xwayland 22.1.6 koriģējošie izlaidumi — DDX komponents (Device Dependent X), kas ļauj palaist X.Org Server, lai organizētu X11 lietojumprogrammu izpildi Wayland vidēs. Jaunajās versijās ir novērstas 6 ievainojamības, kuras potenciāli varētu izmantot privilēģiju eskalācijai sistēmās, kurās X serveris darbojas kā root, kā arī attālinātai koda izpildei konfigurācijās, kurās piekļuvei tiek izmantota X11 sesijas pāradresācija, izmantojot SSH.
- CVE-2022-46340 — steka pārpilde, apstrādājot XTestSwapFakeInput pieprasījumus ar datiem, kas lielāki par 32 baitiem, kas nosūtīti laukam GenericEvents.
- CVE-2022-46341 Ārpus robežu bufera piekļuve rodas, apstrādājot XIPassiveUngrab pieprasījumus, kas izsaukti ar lielām atslēgas koda vai pogas vērtībām.
- CVE-2022-46342 — piekļuve atmiņai pēc brīvas lietošanas, manipulējot ar XvdiSelectVideoNotify pieprasījumiem.
- CVE-2022-46343 — piekļuve atmiņai pēc brīvas lietošanas, manipulējot ar ScreenSaverSetAttributes pieprasījumiem.
- CVE-2022-46344 Ārpus robežu piekļuve datiem, apstrādājot XIChangeProperty pieprasījumus ar lieliem parametriem.
- CVE-2022-46283 — izmantošana pēc brīvas atmiņas, izmantojot XkbGetKbdByName pieprasījuma manipulācijas.
Avots: opennet.ru