Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a Fedora, que permitirían a un atacante realizar ejecución remota de código (RCE), escalamiento de privilegios, entre otros.
Las vulnerabilidades reportadas se componen de 6 (seis) de severidad “Alta”. Algunas de las mismas se detallan a continuación:
- CVE-2022-46343, de severidad “Alta” y con puntuación de 8.8. Esta vulnerabilidad se debe a una falla de gestión de memoria en el controlador de peticiones del tipo ScreenSaverSetAttributes del paquete X.Org. Esto permitiría a un atacante remoto obtener escalamiento de privilegios y realizar ejecución remota de código (RCE) para sesiones de reenvío de ssh X cuando el X server se ejecuta con privilegios elevados.
- CVE-2022-46342, de severidad “Alta” y con puntuación de 8.8. Esta vulnerabilidad se debe a una falla de gestión de memoria en el controlador de peticiones del tipo XvdiSelectVideoNotify del paquete X.Org. Esto permitiría a un atacante remoto obtener escalamiento de privilegios y realizar ejecución remota de código (RCE) para sesiones de reenvío de ssh X cuando el X server se ejecuta con privilegios elevados.
- CVE-2022-46341, de severidad “Alta” y con puntuación de 8.8. Esta vulnerabilidad se debe a una falla de seguridad de acceso a la memoria fuera de los límites en el controlador de peticiones del tipo XIPassiveUngrab del paquete X.Org cuando se le invoca con códigos de gran tamaño. Esto permitiría a un atacante remoto obtener escalamiento de privilegios locales y realizar ejecución remota de código (RCE) para sesiones de reenvío de ssh.
Puede acceder al listado completo de vulnerabilidades aquí
El producto afectado es:
- Fedora, xorg-x11-server versión 1.20.14-12.fc36.
Recomendamos instalar la actualización correspondiente provista por el fabricante, mediante la siguiente guía:
Referencias: