Er zijn corrigerende releases van X.Org Server 21.1.5 en xwayland 22.1.6 gepubliceerd, een DDX-component (Device-Dependent X) die de lancering van X.Org Server mogelijk maakt om de uitvoering van X11-applicaties in Wayland-gebaseerde omgevingen te organiseren. De nieuwe versies pakken zes kwetsbaarheden aan die mogelijk kunnen worden uitgebuit voor escalatie van bevoegdheden op systemen waarop de X-server als root draait, en voor het op afstand uitvoeren van code in configuraties die gebruik maken van X6-sessie-omleiding via SSH voor toegang.
- CVE-2022-46340 β Stack-overflow bij het verwerken van XTestSwapFakeInput-verzoeken met gegevens groter dan 32 bytes die worden doorgegeven aan het GenericEvents-veld.
- CVE-2022-46341 Er treedt een buffertoegang buiten het bereik op bij het verwerken van XIPassiveUngrab-aanvragen die worden aangeroepen met grote sleutelcode- of knopwaarden.
- CVE-2022-46342 β gebruik-na-gratis geheugentoegang via manipulatie van XvdiSelectVideoNotify-verzoeken.
- CVE-2022-46343 β gebruik-na-gratis geheugentoegang via manipulatie van ScreenSaverSetAttributes-verzoeken.
- CVE-2022-46344 Gegevenstoegang buiten het bereik bij het verwerken van XIChangeProperty-aanvragen met grote parameters.
- CVE-2022-46283 β gebruik-na-gratis geheugentoegang via XkbGetKbdByName-verzoekmanipulatie.
Bron: opennet.ru