Korrigerende utgivelser av X.Org Server 21.1.5 og xwayland 22.1.6, Device-Dependent X (DDX)-komponenten som gjør det mulig for X.Org Server å kjøre X11-applikasjoner i Wayland-baserte miljøer, har blitt publisert. De nye versjonene fikser seks sårbarheter som potensielt kan utnyttes til å eskalere rettigheter på systemer som kjører X-serveren som root, samt for ekstern kodekjøring i konfigurasjoner som bruker X11-øktvideresending via SSH.
- CVE-2022-46340 – Stackoverløp ved behandling av XTestSwapFakeInput-forespørsler med data større enn 32 byte sendt til GenericEvents-feltet.
- CVE-2022-46341 – Det finnes et sikkerhetsproblem for tilgang utenfor grensene ved håndtering av XIPassiveUngrab-forespørsler kalt med store nøkkel- eller knappekoder.
- CVE-2022-46342 – Det finnes et sikkerhetsproblem med bruk etter frigjøring på grunn av manipulering av XvdiSelectVideoNotify-forespørsler.
- CVE-2022-46343 – Sårbarhet for bruk etter frigjøring på grunn av manipulering av ScreenSaverSetAttributes-forespørsler.
- CVE-2022-46344 – Sårbarhet for datatilgang utenfor grensene ved behandling av XIChangeProperty-forespørsler med store parametere.
- CVE-2022-46283 – Sårbarhet for bruk etter frigjøring på grunn av manipulering av XkbGetKbdByName-forespørsler.
Kilde: opennet.ru
