[TLP:CLEAR] X.Org X server a Xwayland opravují 3 zranitelnosti
X.Org X server verzí 21.1.19 a Xwayland verzí 24.1.9 opravují 3 zranitelnosti. Opravy jsou k dispozici také v commitech, jejichž seznam naleznete na [1]. Z operačních systémů vydal opravu Slackware v rámci SSA:2025-302-01 [2] či Debian pro bullseye ve verzi 2:1.20.11-1+deb11u17 [3], bookworm ve verzi 2:21.1.7-3+deb12u11 [4] a trixie ve verzi 2:21.1.16-1.3+deb13u1 [4] (xorg-server). Gentoo zranitelnosti opravilo ve verzích 21.1.20 pro xorg-server a 24.1.9 pro xwayland [5]. Jednotlivá vydání Ubuntu (balíčky v pořadí xorg-server a xwayland) a opravené verze produktů [6][7][8]: questing - 2:21.1.18-1ubuntu1.1 a 2:24.1.6-1ubuntu1.1; plucky - 2:21.1.16-1ubuntu1.2 a 2:24.1.6-1ubuntu0.2; noble - 2:21.1.12-1ubuntu1.5 a 2:23.2.6-1ubuntu0.7; jammy - 2:21.1.4-2ubuntu1.7~22.04.16 a 2:22.1.1-1ubuntu0.20.
Autentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu use after free umožněno neoprávněně přistupovat do paměti [1].
Zranitelnost se nachází v produktech:
- X.Org X server ve verzích <=21.1.18
- Xwayland ve verzích <=24.1.8
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-62229 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zranitelnost byla veřejně oznámena 28. 10. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu use after free umožněno neoprávněně přistupovat do paměti [1].
Zranitelnost se nachází v produktech:
- X.Org X server ve verzích <=21.1.18
- Xwayland ve verzích <=24.1.8
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-62230 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zranitelnost byla veřejně oznámena 28. 10. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli přetečení celého čísla umožněno poškodit paměť či vykonat DoS útok [1].
Zranitelnost se nachází v produktech:
- X.Org X server ve verzích <=21.1.18
- Xwayland ve verzích <=24.1.8
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-62231 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-190: Integer Overflow or Wraparound at cwe.mitre.org
Zranitelnost byla veřejně oznámena 28. 10. 2025.
Odkazy
- [1] https://lists.x.org/archives/xorg-announce/2025-October/003635.html
- [2] http://www.slackware.com/security/viewer.php?l=slackware-security&y=2025&m=slackware-security.707848
- [3] https://security-tracker.debian.org/tracker/DLA-4353-1
- [4] https://security-tracker.debian.org/tracker/DSA-6044-1
- [5] https://bugs.gentoo.org/965271
- [6] https://ubuntu.com/security/CVE-2025-62229
- [7] https://ubuntu.com/security/CVE-2025-62230
- [8] https://ubuntu.com/security/CVE-2025-62231
Za CESNET-CERTS Michaela Jarošová dne 30. 10. 2025.
