[TLP:CLEAR] X.Org opravuje 5 zranitelností
X.Org Foundation opravuje 5 zranitelností verzemi produktů xwayland 24.1.13, xorg-server 21.1.24 a libXfont2-2.0.8 [1]. Debian vydal opravenou nestabilní verzi sid 1:2.0.8-1 (CVE-2026-56001, CVE-2026-56002, CVE-2026-56003) [2][3][4].
Autentizovanému lokálnímu útočníkovi disponujícím spojením X schopným poskytnout PCF font je kvůli chybějící kontrole hranic metrik znaků písma v PCF souboru umožněno v produktech xorg-server a xwayland způsobit přetečení vyrovnávací paměti na haldě a potenciálně vyvolat DoS či spustit libovolný kód [5][6].
Zranitelnost se nachází v produktech:
- xorg-server ve verzích <21.1.24
- xwayland ve verzích <24.1.13
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-55999 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 7. 2026.
Autentizovanému lokálnímu útočníkovi disponujícímu spojením X schopným odeslat GLX commit je v produktech xorg-server a xwayland umožněno pomocí specifické sekvence GLX vyvolat přealokování paměťového pole, přičemž v kódu nedojde k aktualizaci příslušného ukazatele, který tak nadále odkazuje na již uvolněnou paměť a tím potenciálně vyvolat DoS či spustit libovolný kód [5][7].
Zranitelnost se nachází v produktech:
- xorg-server ve verzích <21.1.24
- xwayland ve verzích <24.1.13
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-56000 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 7. 2026.
Autentizovanému vzdálenému útočníkovi je umožněno nahráním PCF souboru s nadbytečnými rozměry znaků způsobit v knihovně libXfont2 přetečení 32bitové proměnné při výpočtu velikosti alokované paměti, což vede k následnému přetečení vyrovnávací paměti na haldě, čímž lze potenciálně vyvolat DoS či spustit libovolný kód na X serveru [8][9].
Zranitelnost se nachází v produktu libXfont2 ve verzích <2.0.8.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-56001 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 7. 2026.
Autentizovanému vzdálenému útočníkovi je umožněno nahráním škodlivého PCF souboru způsobit v knihovně libXfont2 během parsování přetečení vyrovnávací paměti na haldě kvůli chybějící křížové validaci velikosti bitmap a metrik znaků, čímž lze potenciálně vyvolat DoS či spustit libovolný kód na X serveru [9][10].
Zranitelnost se nachází v produktu libXfont2 ve verzích <2.0.8.
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2026-56002 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 7. 2026.
Autentizovanému vzdálenému útočníkovi je umožněno nahráním škodlivého PCF souboru s duplicitními vlastnostmi způsobit v knihovně libXfont2 přetečení vyrovnávací paměti na haldě z důvodu nedostatečného ověření mezí při zápisu do vyrovnávací paměti, čímž lze potenciálně vyvolat DoS či spustit libovolný kód na X serveru [9][11].
Zranitelnost se nachází v produktu libXfont2 ve verzích <2.0.8.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-56003 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 7. 2026.
Odkazy
- [1] https://www.x.org/Development/Security/
- [2] https://security-tracker.debian.org/tracker/CVE-2026-56001
- [3] https://security-tracker.debian.org/tracker/CVE-2026-56002
- [4] https://security-tracker.debian.org/tracker/CVE-2026-56003
- [5] https://lists.x.org/archives/xorg-announce/2026-July/003716.html
- [6] https://nvd.nist.gov/vuln/detail/CVE-2026-55999
- [7] https://nvd.nist.gov/vuln/detail/cve-2026-56000
- [8] https://nvd.nist.gov/vuln/detail/CVE-2026-56001
- [9] https://lists.x.org/archives/xorg-announce/2026-July/003714.html
- [10] https://nvd.nist.gov/vuln/detail/CVE-2026-56002
- [11] https://nvd.nist.gov/vuln/detail/CVE-2026-56003
Za CESNET-CERTS Táňa Macháčková dne 10. 7. 2026.