ISN 2025-07: Sicherheitslücken in X.org
Erstveröffentlichung: 27. März 2025
CVSS 3.1: 8.8 (Hoch)
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Zusammenfassung
In X.org, dem in IGEL OS verwendeten Display-System, wurden mehrere Sicherheitslücken entdeckt. Betroffen sind folgenden Produktversionen:
IGEL OS 12
IGEL OS 11
Details
Drei der in X.org entdeckten Schwachstellen sind vom Typ Use-after-free. Sie können zum Absturz des X-Servers führen oder es Angreifern ermöglichen, Code auszuführen: CVE-2025-26594 (hoch), CVE-2025-26600 (hoch), und CVE-2025-26601 (hoch). Darüber hinaus wurden Buffer Overflows in den Funktionen XkbVModMaskText() (CVE-2025-26595, hoch) und XkbChangeTypesOfKey() (CVE-2025-26597, hoch) identifiziert. Ein Heap Overflow betrifft die Funktion XkbWriteKeySyms() (CVE-2025-26596, hoch).
Zusätzlich wurde ein nicht initialisierter Zeiger im Compositor festgestellt (CVE-2025-26599, hoch). Außerdem wurde ein Out-of-Bounds-Schreibzugriff in der Funktion CreatePointerBarrierClient() entdeckt (CVE-2025-26598, hoch).
Update-Anweisungen
OS 12: Aktualisieren Sie das IGEL OS Base System auf Version 12.7.0, sobald diese verfügbar ist.
OS 11: Aktualisieren Sie auf IGEL OS 11.11.100, sobald diese Version verfügbar ist (geplant für August).
Quellen
X.Org-Sicherheitsmeldung: https://lists.x.org/archives/xorg-announce/2025-February/003584.html