Korrigerande utgåvor av X.Org Server 21.1.5 och xwayland 22.1.6 har publicerats, en DDX-komponent (Device-Dependent X) som möjliggör lanseringen av X.Org Server för att organisera exekveringen av X11-applikationer i Wayland-baserade miljöer. De nya versionerna adresserar 6 sårbarheter som potentiellt skulle kunna utnyttjas för privilegieskalering på system som kör X-servern som root, såväl som för fjärrkörning av kod i konfigurationer som använder X11-sessionsomdirigering via SSH för åtkomst.
- CVE-2022-46340 – Stackoverflow vid bearbetning av XTestSwapFakeInput-förfrågningar med data som är större än 32 byte som skickas till GenericEvents-fältet.
- CVE-2022-46341 En out-of-bounds buffertåtkomst inträffar vid bearbetning av XIPassiveUngrab-förfrågningar anropade med stora nyckelkoder eller knappvärden.
- CVE-2022-46342 – använd-efter-fri minnesåtkomst via manipulering av XvdiSelectVideoNotify-förfrågningar.
- CVE-2022-46343 – använd-efter-fri minnesåtkomst via manipulering av ScreenSaverSetAttributes-förfrågningar.
- CVE-2022-46344 Out-of-bounds dataåtkomst vid bearbetning av XIChangeProperty-förfrågningar med stora parametrar.
- CVE-2022-46283 – använd-efter-fri minnesåtkomst via XkbGetKbdByName-begäran.
Källa: opennet.ru