DFN-CERT

Advisory-Archiv

2023-2625: X.Org Server, Wayland, TigerVNC: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-10-25 18:14)
Neues Advisory
Version 2 (2023-10-26 10:12)
Für Debian 10 Buster (LTS) steht Version 2:1.20.4-1+deb10u10, für Debian 11 Bullseye (oldstable) steht Version 2:1.20.11-1+deb11u8 und für Debian 12 Bookworm (stable) steht Version 2:21.1.7-3+deb12u2 von 'xorg-server' als Sicherheitsupdate bereit, um die Schwachstellen CVE-2023-5367 und CVE-2023-5380 zu beheben. Canonical stelllt für Ubuntu 23.10, Ubuntu 23.04, Ubuntu 22.04 LTS und Ubuntu 20.04 LTS Sicherheitsupdates für 'xorg-server' und 'xwayland' bereit, welche die Schwachstellen CVE-2023-5367 und CVE-2023-5380 adressieren. Für Fedora 37 und 38 stehen Sicherheitsupdates in Form der Pakete 'xorg-x11-server-1.20.14-26.fc37', 'xorg-x11-server-Xwayland-22.1.9-3.fc37', 'xorg-x11-server-1.20.14-26.fc38' und 'xorg-x11-server-Xwayland-22.1.9-3.fc38' im Status 'testing' bereit, um die CVE-2023-5367 und CVE-2023-5380 (xorg-x11-server) bzw. CVE-2023-5367 (xorg-x11-server-Xwayland) zu beheben.
Version 3 (2023-11-01 08:49)
Für Basesystem Module 15 SP4 und 15 SP5, Development Tools Module 15 SP4 und 15 SP5, openSUSE Leap 15.4 und 15.5, SUSE Linux Enterprise Desktop 15 SP4 und 15 SP5, SUSE Linux Enterprise High Performance Computing 12 SP5, 15 SP4 und 15 SP5, SUSE Linux Enterprise Real Time 15 SP4 und 15 SP5, SUSE Linux Enterprise Server 12 SP5, 15 SP4 und 15 SP5, SUSE Linux Enterprise Server for SAP Applications 12 SP5, 15 SP4 und 15 SP5, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3 sowie SUSE Manager Server 4.3 stehen Sicherheitsupdates für 'xorg-x11-server' bereit, um die Schwachstellen zu beheben. Für openSUSE Leap 15.4 und 15.5, SUSE Linux Enterprise Desktop 15 SP4 und 15 SP5, SUSE Linux Enterprise Server 15 SP4 und 15 SP5, SUSE Linux Enterprise Server for SAP Applications 15 SP4 und 15 SP5 sowie SUSE Linux Enterprise Workstation Extension 15 SP4 und 15 SP5 werden die betreffenden beiden Schwachstellen durch ein Sicherheitsupdate für 'xwayland' adressiert. Canonical stellt korrespondierend zu USN-6453-1 für Ubuntu 18.04 ESM, Ubuntu 16.04 ESM und Ubuntu 14.04 ESM Sicherheitsupdates für 'xorg-server' bereit, um die Schwachstellen CVE-2023-5367 und CVE-2023-5380 zu beheben.
Version 4 (2023-11-02 15:46)
Für openSUSE Leap 15.4, SUSE Enterprise Storage 7.1, SUSE Linux Enterprise Desktop 15 SP4 und 15 SP5, SUSE Linux Enterprise High Performance Computing 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 ESPOS und 15 SP3 LTSS, SUSE Linux Enterprise Server 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 LTSS, 15 SP4 und 15 SP5, SUSE Linux Enterprise Server for SAP Applications 15 SP2, 15 SP3, 15 SP4 und 15 SP5, SUSE Linux Enterprise Workstation Extension 15 SP4 und 15 SP5, SUSE Manager Proxy 4.2, SUSE Manager Retail Branch Server 4.2 und SUSE Manager Server 4.2 stehen Sicherheitsupdates für 'xorg-x11-server' zur Behebung der Schwachstellen bereit.
Version 5 (2023-11-03 08:22)
Für Fedora 37 und 38 stehen Sicherheitsupdates in Form von 'tigervnc-1.13.1-6'-Paketen im Status 'testing' bereit, welche die Xserver-Schwachstellen CVE-2023-5367 und CVE-2023-5380 adressieren.
Version 6 (2023-11-09 09:31)
Für Red Hat Enterprise Linux Server, Workstation, Desktop und for Scientific Computing 7 (x86_64) stehen Sicherheitsupdates für 'xorg-x11-server' zur Verfügung, um die Schwachstelle CVE-2023-5367 zu beheben.
Version 7 (2023-11-09 14:54)
Für Oracle Linux 7 (x86_64, aarch64) steht ein zu RHSA-2023:6802 korrespondierendes Sicherheitsupdate für 'xorg-x11-server' zur Verfügung, um die Schwachstelle CVE-2023-5367 zu beheben.

Betroffene Software

Netzwerk
Server
Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Der Hersteller informiert über die Schwachstellen und stellt Quellcode-Patches als Sicherheitsupdates bereit. Die angekündigten Versionen xorg-server 21.1.9 und xwayland 23.2.2 werden diese Patches beinhalten.

Schwachstellen:

CVE-2023-5367

Schwachstelle in OpenBSD, Wayland und X.Org Server ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-5380

Schwachstelle in OpenBSD und X.Org Server ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-5574

Schwachstelle in OpenBSD, Wayland und X.Org Server ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.