2024-0130: OpenBSD, Wayland, X.Org Server: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2024-01-17 13:50)

Neues Advisory

Version 2 (2024-01-18 10:33)

Für Fedora 39 stehen Sicherheitsupdates in Form der Pakete 'tigervnc-1.13.1-11.fc39' und 'xorg-x11-server-1.20.14-29.fc39' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Version 3 (2024-01-19 16:23)

Für openSUSE Leap 15.4 und SUSE Linux Enterprise Desktop 15 SP4 LTSS stehen Sicherheitsupdates für 'xwayland' bereit, um die Schwachstellen zu beheben.

Version 4 (2024-01-22 07:30)

Für Fedora 39 steht ein Sicherheitsupdate in Form des Pakets 'xorg-x11-server-1.20.14-30.fc39' im Status 'stable' bereit, um eine Speichernutzung nach dessen Freigabe (Use-after-Free) in Verbindung mit der Schwachstelle CVE-2024-21886 zu beheben.

Version 5 (2024-01-22 17:40)

Canonical stellt für Ubuntu 18.04 ESM und Ubuntu 16.04 ESM Sicherheitsupdates für 'xorg-server' zur Verfügung, um die Schwachstellen zu beheben.

Version 6 (2024-01-23 14:11)

Für Red Hat Enterprise Linux Server / Workstation / Desktop / for Scientific Computing 7 (x86_64) stehen Sicherheitsupdates für 'xorg-x11-server' bereit, um die Schwachstellen zu beheben. Für Oracle Linux 7 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates für 'xorg-x11-server' bereit, um die Schwachstellen zu beheben.

Version 7 (2024-01-24 12:19)

Für Debian 11 Bullseye (oldstable) steht Version 2:1.20.11-1+deb11u11 und für Debian 12 Bookworm (stable) steht Version 2:21.1.7-3+deb12u5 von 'xorg-server' bereit, um die Schwachstellen zu beheben.

Version 8 (2024-01-26 07:30)

Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für 'xorg-server' in Version 2:1.20.4-1+deb10u13 bereit, um die Schwachstellen zu adressieren.

Version 9 (2024-01-31 06:25)

Für Ubuntu 23.10, Ubuntu 22.04 LTS und Ubuntu 20.04 LTS stehen aktualisierte Sicherheitsupdates für 'xorg-server' und 'xwayland' zur Verfügung, da der Patch in USN-6587-1 unvollständig war und zu einer möglichen Regression geführt hat.

Version 10 (2024-02-01 17:09)

Canonical stellt für Ubuntu 18.04 ESM und Ubuntu 16.04 ESM aktualisierte Sicherheitsupdates für 'xorg-server' zur Verfügung, da der Patch in USN-6587-1 unvollständig war und zu einer möglichen Regression geführt hat.

Version 11 (2024-03-14 07:47)

Canonical stellt zu USN-6587-1 korrespondierende Sicherheitsupdates für Ubuntu 14.04 ESM für 'xorg-server' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Netzwerk
Server
Systemsoftware

Betroffene Plattformen

Linux
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung aller Schwachstellen sind übliche Privilegien erforderlich.

Der Hersteller informiert über die Schwachstellen und stellt Quellcode-Patches als Sicherheitsupdates bereit. Die angekündigten Versionen xorg-server 21.1.11 und xwayland 23.2.4 werden diese Patches beinhalten.

Für OpenBSD 7.3 und 7.4 stehen Sicherheitsupdates in Form von Quellcode-Patches zur Behebung der beiden Schwachstellen bereit.

Für Fedora 38 und 39 stehen die Pakete 'xorg-x11-server-Xwayland-22.1.9-5.fc38' und 'xorg-x11-server-Xwayland-23.2.4-1.fc39' im Status 'testing' als Sicherheitsupdates bereit.

Für Ubuntu 23.10, Ubuntu 23.04, Ubuntu 22.04 LTS und Ubuntu 20.04 LTS stehen Sicherheitsupdates für 'xorg-server' und 'xwayland' zur Verfügung, um die Schwachstellen zu adressieren.

Schwachstellen:

CVE-2023-6816

Schwachstelle in OpenBSD, Wayland und X.Org Server ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-0229

Schwachstelle in OpenBSD, Wayland und X.Org Server ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-0408

Schwachstelle in OpenBSD, Wayland und X.Org Server ermöglicht Denial-of-Service-Angriff

CVE-2024-0409

Schwachstelle in OpenBSD, Wayland und X.Org Server ermöglicht Denial-of-Service-Angriff

CVE-2024-21885

Schwachstelle in OpenBSD, Wayland und X.Org Server ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-21886

Schwachstelle in OpenBSD, Wayland und X.Org Server ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.