Vulnerabilidad en la memoria de xserver en ASLR en Xorg-server (CVE-2020-14347)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/08/2020
Última modificación:
29/08/2025
Descripción
Se encontró un fallo en la manera en que la memoria de xserver no fue inicializada apropiadamente. Esto podría filtrar partes de la memoria del servidor hacia cliente X. En los casos en que el servidor Xorg se ejecuta con privilegios elevados, esto podría resultar en una posible omisión de ASLR. Xorg-server anterior a la versión 1.20.9 es vulnerable
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:x.org:x_server:*:*:*:*:*:*:*:* | 1.20.9 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:esm:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:esm:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:20.04:*:*:*:lts:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00066.html
- http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00075.html
- https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-14347
- https://lists.debian.org/debian-lts-announce/2020/08/msg00057.html
- https://lists.x.org/archives/xorg-announce/2020-July/003051.html
- https://security.gentoo.org/glsa/202012-01
- https://usn.ubuntu.com/4488-1/
- https://usn.ubuntu.com/4488-2/
- https://www.debian.org/security/2020/dsa-4758
- https://www.openwall.com/lists/oss-security/2020/07/31/2
- http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00066.html
- http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00075.html
- https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-14347
- https://lists.debian.org/debian-lts-announce/2020/08/msg00057.html
- https://lists.x.org/archives/xorg-announce/2020-July/003051.html
- https://security.gentoo.org/glsa/202012-01
- https://usn.ubuntu.com/4488-1/
- https://usn.ubuntu.com/4488-2/
- https://www.debian.org/security/2020/dsa-4758
- https://www.openwall.com/lists/oss-security/2020/07/31/2