Обновление X.Org Server 21.1.4 с устранением уязвимостей

Ответить на тему

Автор

Сообщение

news_bot ^®

Стаж: 6 лет 2 месяца
Сообщений: 27286

news_bot ^® написал(а)
13-Июл-2022 00:35

Цитировать

Доступен корректирующий выпуск X.Org Server 21.1.4, в котором устранены две уязвимости в обработчиках расширения Xkb, позволяющие поднять свои привилегии в системе, если X-сервер выполняется с правами root, или выполнить код на удалённой системе, если для доступа используется перенаправление сеанса X11 при помощи SSH. Уязвимости вызваны отсутствием корректной проверки размера в обработчиках запросов ProcXkbSetGeometry (CVE-2022-2319) и ProcXkbSetDeviceInfo (CVE-2022-2320), которые можно эксплуатировать для записи в область памяти за границей выделенного буфера.
В случае ProcXkbSetGeometry отсутствовала проверка размера полей запроса, что позволяло клиенту вызвать переполнение, указав в запросе число секций, не соответствующее фактически отправленным данным. В обработчике ProcXkbSetDeviceInfo уязвимость вызвана неверным порядком вызова функций - функция для проверки параметров вызывалась после функции, в которой эти параметры использовались (были перепутаны названия функций и функция XkbSetDeviceInfo включала код для проверки, а XkbSetDeviceInfoCheck - для выставления значений).
===========
Источник:
OpenNet.RU
===========

Обновление X.Org Server 21.1.4 с устранением уязвимостей

Похожие новости