Описание
Уязвимость функции PlayReleasedEvents() реализации протокола Wayland для X.Org XWayland, реализации сервера X Window System X.Org Server связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Вендор
Red Hat Inc.
Novell Inc.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
АО «ИВК»
X.Org Foundation
АО "НППКТ"
Наименование ПО
Red Hat Enterprise Linux
openSUSE Tumbleweed
Debian GNU/Linux
Astra Linux Special Edition
SUSE Linux Enterprise Server for SAP Applications
SUSE Manager Retail Branch Server
SUSE Manager Proxy
SUSE Manager Server
SUSE Enterprise Storage
Suse Linux Enterprise Server
SUSE Linux Enterprise High Performance Computing
АЛЬТ СП 10
Suse Linux Enterprise Desktop
SUSE Linux Enterprise Module for Basesystem
SUSE Linux Enterprise Workstation Extension
OpenSUSE Leap
SUSE Linux Enterprise Module for Development Tools
X.Org Server
XWayland
ОСОН ОСнова Оnyx
Версия ПО
7 (Red Hat Enterprise Linux)
8 (Red Hat Enterprise Linux)
- (openSUSE Tumbleweed)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
9 (Red Hat Enterprise Linux)
4.3 (SUSE Manager Retail Branch Server)
4.3 (SUSE Manager Proxy)
4.3 (SUSE Manager Server)
7.1 (SUSE Enterprise Storage)
15 SP3-LTSS (Suse Linux Enterprise Server)
15 SP3-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
- (АЛЬТ СП 10)
15 SP4-ESPOS (SUSE Linux Enterprise High Performance Computing)
15 SP4-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP4-LTSS (Suse Linux Enterprise Server)
15 SP6 (Suse Linux Enterprise Desktop)
15 SP6 (Suse Linux Enterprise Server)
15 SP6 (SUSE Linux Enterprise Server for SAP Applications)
15 SP6 (SUSE Linux Enterprise High Performance Computing)
15 SP6 (SUSE Linux Enterprise Module for Basesystem)
15 SP6 (SUSE Linux Enterprise Workstation Extension)
15.6 (OpenSUSE Leap)
15 SP6 (SUSE Linux Enterprise Module for Development Tools)
1.8 (Astra Linux Special Edition)
12 SP5-LTSS (Suse Linux Enterprise Server)
12 SP5 LTSS Extended Security (Suse Linux Enterprise Server)
15 SP5-LTSS (Suse Linux Enterprise Server)
15 SP5-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP5-ESPOS (SUSE Linux Enterprise High Performance Computing)
до 21.1.16 (X.Org Server)
до 24.1.6 (XWayland)
до 2.13 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Сетевое средство
Прикладное ПО информационных систем
ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. openSUSE Tumbleweed -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Red Hat Inc. Red Hat Enterprise Linux 9
Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
АО «ИВК» АЛЬТ СП 10 -
Novell Inc. Suse Linux Enterprise Server 15 SP4-LTSS
Novell Inc. Suse Linux Enterprise Desktop 15 SP6
Novell Inc. Suse Linux Enterprise Server 15 SP6
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6
Novell Inc. OpenSUSE Leap 15.6
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Novell Inc. Suse Linux Enterprise Server 12 SP5-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP5 LTSS Extended Security
Novell Inc. Suse Linux Enterprise Server 15 SP5-LTSS
АО "НППКТ" ОСОН ОСнова Оnyx до 2.13
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для X.Org Server:
https://www.comss.ru/page.php?id=15830&ysclid=m7oezo4e4q284242167
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-26600
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2025-26600
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2025-26600.html
Для ОС Astra Linux:
- обновить пакет xwayland до 2:23.2.6-1ubuntu0.4astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
- обновить пакет xorg-server до 2:21.1.7-1ubuntu4astra.se45 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Обновление программного обеспечения xorg-server до версии 2:1.20.11-1+deb11u15.osnova2u1
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 5%
0.00025
Низкий
7.8 High
CVSS3
6.8 Medium
CVSS2
Связанные уязвимости
CVSS3: 7.8
ubuntu
4 месяца назад
A use-after-free flaw was found in X.Org and Xwayland. When a device is removed while still frozen, the events queued for that device remain while the device is freed. Replaying the events will cause a use-after-free.
CVSS3: 7.8
redhat
4 месяца назад
A use-after-free flaw was found in X.Org and Xwayland. When a device is removed while still frozen, the events queued for that device remain while the device is freed. Replaying the events will cause a use-after-free.
CVSS3: 7.8
nvd
4 месяца назад
A use-after-free flaw was found in X.Org and Xwayland. When a device is removed while still frozen, the events queued for that device remain while the device is freed. Replaying the events will cause a use-after-free.
CVSS3: 7.8
debian
4 месяца назад
A use-after-free flaw was found in X.Org and Xwayland. When a device i ...
EPSS
Процентиль: 5%
0.00025
Низкий
7.8 High
CVSS3
6.8 Medium
CVSS2