Korrigerende utgivelser av X.Org Server 21.1.5 og xwayland 22.1.6 er publisert, en DDX-komponent (Device-Dependent X) som muliggjør lanseringen av X.Org Server for å organisere kjøringen av X11-applikasjoner i Wayland-baserte miljøer. De nye versjonene adresserer 6 sårbarheter som potensielt kan utnyttes for rettighetseskalering på systemer som kjører X-serveren som root, samt for ekstern kjøring av kode i konfigurasjoner som bruker X11-sesjonsomadressering via SSH for tilgang.
- CVE-2022-46340 – Stabeloverflyt ved behandling av XTestSwapFakeInput-forespørsler med data større enn 32 byte sendt til GenericEvents-feltet.
- CVE-2022-46341 Buffertilgang utenfor grensene oppstår når XIPassiveUngrab-forespørsler behandles med store nøkkelkode- eller knappeverdier.
- CVE-2022-46342 – bruk-etter-gratis minnetilgang via manipulering av XvdiSelectVideoNotify-forespørsler.
- CVE-2022-46343 – bruk etter-gratis minnetilgang via manipulering av ScreenSaverSetAttributes-forespørsler.
- CVE-2022-46344 Out-of-bounds datatilgang ved behandling av XIChangeProperty-forespørsler med store parametere.
- CVE-2022-46283 – bruk-etter-gratis minnetilgang via XkbGetKbdByName-forespørselsmanipulering.
Kilde: opennet.ru