X.Org X11 und Xwayland: Sicherheitshinweis! Mehrere IT-Schwachstellen gemeldet

Ein für X.Org X11 und Xwayland herausgegebener Sicherheitshinweis hat vom BSI ein Update erhalten. Welche Betriebssysteme und Produkte von den Sicherheitslücken betroffen sind, lesen Sie hier auf news.de.

Erstellt von - Uhr

Aktuelle IT-Sicherheitshinweise auf news.de (Symbolbild). (Foto) Suche
Aktuelle IT-Sicherheitshinweise auf news.de (Symbolbild). Bild: Adobe Stock / DC Studio

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 17.11.2025 ein Update zu einer am 17.06.2025 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen für X.Org X11 und Xwayland herausgegeben. Betroffen von der Sicherheitslücke sind die Betriebssysteme Linux, UNIX und Windows sowie die Produkte IBM VIOS, IBM AIX, Debian Linux, Amazon Linux 2, Red Hat Enterprise Linux, Fedora Linux, Ubuntu Linux, SUSE Linux, Oracle Linux, SUSE openSUSE, Xerox FreeFlow Print Server, OpenBSD OpenBSD, Open Source X.Org X11, Open Source Xwayland und Open Source Xming.

Die neuesten Hersteller-Empfehlungen bezüglich Updates, Workarounds und Sicherheitspatches für diese Sicherheitslücke finden Sie hier: XEROX Security Advisory XRX25-018 (Stand: 18.11.2025). Weitere nützliche Quellen werden weiter unten in diesem Artikel aufgeführt.

Mehrere Schwachstellen für X.Org X11 und Xwayland - Risiko: mittel

Risikostufe: 4 (mittel)
CVSS Base Score: 7,8
CVSS Temporal Score: 6,8
Remoteangriff: Nein

Zur Einschätzung der Verwundbarkeit von Computersystemen wird das Common Vulnerability Scoring System (CVSS) angewandt. Der CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken auf Basis verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser priorisieren zu können. Für die Schweregrade einer Schwachstelle werden die Attribute "keine", "niedrig", "mittel", "hoch" und "kritisch" verwendet. Der Base Score bewertet die Voraussetzungen für einen Angriff (u.a. Authentifizierung, Komplexität, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Temporal Score fließen über die Zeit veränderbare Rahmenbedingungen in die Bewertung ein. Der Schweregrad der aktuellen Schwachstelle wird nach dem CVSS mit einem Base Score von 7,8 als "mittel" eingestuft.

X.Org X11 und Xwayland Bug: Auswirkungen bei Ausnutzung der bekannten Schwachstellen

Das X Window System dient der Erzeugung grafischer Oberflächen auf Unix Systemen.Xwayland ist ein X-Server für die Ausführung von X-Clients unter Wayland Display Servern. Wayland ist ein Ersatz für X.11 Display-Server.

Ein lokaler Angreifer kann mehrere Schwachstellen in X.Org X11 und Xwayland ausnutzen, um einen Denial-of-Service-Zustand herbeizuführen und möglicherweise Code auszuführen oder nicht näher spezifizierte Auswirkungen zu erzielen.

Die Verwundbarkeit wird mit den eindeutigen CVE-Seriennummern (Common Vulnerabilities and Exposures) CVE-2025-49175, CVE-2025-49176, CVE-2025-49177, CVE-2025-49178, CVE-2025-49179 und CVE-2025-49180 gehandelt.

Von der Sicherheitslücke betroffene Systeme im Überblick

Betriebssysteme
Linux, UNIX, Windows

Produkte
IBM VIOS 3.1 (cpe:/a:ibm:vios)
IBM AIX 7.3 (cpe:/o:ibm:aix)
IBM VIOS 4.1 (cpe:/a:ibm:vios)
Debian Linux (cpe:/o:debian:debian_linux)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
IBM AIX 7.2 (cpe:/o:ibm:aix)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Fedora Linux (cpe:/o:fedoraproject:fedora)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
SUSE openSUSE (cpe:/o:suse:opensuse)
Xerox FreeFlow Print Server v7 (cpe:/a:xerox:freeflow_print_server)
OpenBSD OpenBSD 7.6 (cpe:/a:openbsd:openbsd)
OpenBSD OpenBSD 7.7 (cpe:/a:openbsd:openbsd)
Open Source X.Org X11 <21.1.17 (cpe:/a:x:x.org_x11)
Open Source X.Org X11 21.1.17 (cpe:/a:x:x.org_x11)
Open Source Xwayland <24.1.7 (cpe:/a:x.org:xwayland)
Open Source Xwayland 24.1.7 (cpe:/a:x.org:xwayland)
Open Source Xming <7.7.1.17 (cpe:/a:open_source:xming)
Open Source Xming 7.7.1.17 (cpe:/a:open_source:xming)

Allgemeine Maßnahmen zum Umgang mit IT-Sicherheitslücken

  1. Anwender der betroffenen Systeme sollten diese auf dem aktuellsten Stand halten. Hersteller sind bei Bekanntwerden von Sicherheitslücken dazu angehalten, diese schnellstmöglich durch Entwicklung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie diese zeitnah.
  2. Konsultieren Sie zu Informationszwecken die im nächsten Abschnitt aufgeführten Quellen. Häufig enthalten diese weiterführende Informationen zur aktuellsten Version der betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
  3. Wenden Sie sich bei weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle befinden sich weiterführende Links mit Informationen über Bug-Reports, Security-Fixes und Workarounds.

XEROX Security Advisory XRX25-018 vom 2025-11-18 (17.11.2025)
Weitere Informationen finden Sie unter: https://security.business.xerox.com/wp-content/uploads/2025/11/Xerox-Security-Bulletin-XRX25-018-Xerox-FreeFlow-Print-Server-v7.pdf

IBM Security Bulletin 7247777 vom 2025-10-13 (13.10.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7247777

Oracle Linux Security Advisory ELSA-2025-10360 vom 2025-07-24 (23.07.2025)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2025-10360.html

Oracle Linux Security Advisory ELSA-2025-10375 vom 2025-07-24 (23.07.2025)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2025-10375.html

Amazon Linux Security Advisory ALAS2-2025-2918 vom 2025-07-10 (10.07.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2-2025-2918.html

Amazon Linux Security Advisory ALAS2-2025-2917 vom 2025-07-10 (10.07.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2-2025-2917.html

Red Hat Security Advisory RHSA-2025:10410 vom 2025-07-07 (07.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10410

Oracle Linux Security Advisory ELSA-2025-7458 vom 2025-07-07 (07.07.2025)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2025-7458.html

Red Hat Security Advisory RHSA-2025:10356 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10356

Red Hat Security Advisory RHSA-2025:10355 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10355

Red Hat Security Advisory RHSA-2025:10360 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10360

Red Hat Security Advisory RHSA-2025:10351 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10351

Red Hat Security Advisory RHSA-2025:10350 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10350

Red Hat Security Advisory RHSA-2025:10349 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10349

Red Hat Security Advisory RHSA-2025:10346 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10346

Red Hat Security Advisory RHSA-2025:10344 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10344

Red Hat Security Advisory RHSA-2025:10381 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10381

Red Hat Security Advisory RHSA-2025:10378 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10378

Red Hat Security Advisory RHSA-2025:10377 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10377

Red Hat Security Advisory RHSA-2025:10376 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10376

Red Hat Security Advisory RHSA-2025:10375 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10375

Red Hat Security Advisory RHSA-2025:10374 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10374

Red Hat Security Advisory RHSA-2025:10370 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10370

SUSE Security Update SUSE-SU-2025:02224-1 vom 2025-07-04 (06.07.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-July/021753.html

SUSE Security Update SUSE-SU-2025:02225-1 vom 2025-07-04 (06.07.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-July/021752.html

openSUSE Security Update OPENSUSE-SU-2025:15310-1 vom 2025-07-05 (06.07.2025)
Weitere Informationen finden Sie unter: https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/OKF7NFRZKSLLYYTGBCMNT4MNROM52NR2/

Red Hat Security Advisory RHSA-2025:10342 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10342

Red Hat Security Advisory RHSA-2025:10352 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10352

openSUSE Security Update OPENSUSE-SU-2025:15311-1 vom 2025-07-05 (06.07.2025)
Weitere Informationen finden Sie unter: https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/WYFCBUYKCLJZHFPBTYXS2ECVQPDPFJG3/

Red Hat Security Advisory RHSA-2025:10348 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10348

Red Hat Security Advisory RHSA-2025:10347 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10347

Red Hat Security Advisory RHSA-2025:10343 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10343

SUSE Security Update SUSE-SU-2025:02207-1 vom 2025-07-02 (02.07.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-July/021739.html

SUSE Security Update SUSE-SU-2025:02206-1 vom 2025-07-02 (02.07.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-July/021740.html

Red Hat Security Advisory RHSA-2025:10258 vom 2025-07-02 (02.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10258

SUSE Security Update SUSE-SU-2025:02208-1 vom 2025-07-02 (02.07.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-July/021738.html

SUSE Security Update SUSE-SU-2025:02187-1 vom 2025-07-01 (01.07.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-July/021731.html

SUSE Security Update SUSE-SU-2025:02191-1 vom 2025-07-01 (01.07.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-July/021735.html

SUSE Security Update SUSE-SU-2025:02192-1 vom 2025-07-01 (01.07.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-July/021734.html

Red Hat Security Advisory RHSA-2025:9964 vom 2025-06-30 (30.06.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:9964

Debian Security Advisory DLA-4230 vom 2025-06-26 (29.06.2025)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2025/06/msg00028.html

Oracle Linux Security Advisory ELSA-2025-9304 vom 2025-06-28 (29.06.2025)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2025-9304.html

Oracle Linux Security Advisory ELSA-2025-9306 vom 2025-06-24 (23.06.2025)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2025-9306.html

Oracle Linux Security Advisory ELSA-2025-9303 vom 2025-06-24 (23.06.2025)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2025-9303.html

Debian Security Advisory DSA-5947 vom 2025-06-23 (23.06.2025)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-security-announce/2025/msg00111.html

Oracle Linux Security Advisory ELSA-2025-9392 vom 2025-06-24 (23.06.2025)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2025-9392.html

Oracle Linux Security Advisory ELSA-2025-9305 vom 2025-06-24 (23.06.2025)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2025-9305.html

Red Hat Security Advisory RHSA-2025:9392 vom 2025-06-23 (23.06.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:9392

Fedora Security Advisory FEDORA-2025-1FE27443E2 vom 2025-06-23 (22.06.2025)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2025-1fe27443e2

Fedora Security Advisory FEDORA-2025-984E1CEE93 vom 2025-06-23 (22.06.2025)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2025-984e1cee93

Red Hat Security Advisory RHSA-2025:9304 vom 2025-06-23 (22.06.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:9304

Red Hat Security Advisory RHSA-2025:9303 vom 2025-06-23 (22.06.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:9303

Red Hat Security Advisory RHSA-2025:9306 vom 2025-06-23 (22.06.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:9306

Red Hat Security Advisory RHSA-2025:9305 vom 2025-06-23 (22.06.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:9305

Fedora Security Advisory FEDORA-2025-BF47909CBA vom 2025-06-18 (19.06.2025)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2025-bf47909cba

Fedora Security Advisory FEDORA-2025-6AA06A969E vom 2025-06-18 (19.06.2025)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2025-6aa06a969e

Fedora Security Advisory FEDORA-2025-A7041D5F74 vom 2025-06-18 (19.06.2025)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2025-a7041d5f74

SUSE Security Update SUSE-SU-2025:02012-1 vom 2025-06-18 (19.06.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-June/021573.html

Fedora Security Advisory FEDORA-2025-2363836C6C vom 2025-06-18 (19.06.2025)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2025-2363836c6c

Fedora Security Advisory FEDORA-2025-3FA66AC98B vom 2025-06-18 (19.06.2025)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2025-3fa66ac98b

Fedora Security Advisory FEDORA-2025-B4D521F084 vom 2025-06-18 (19.06.2025)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2025-b4d521f084

Fedora Security Advisory FEDORA-2025-CE130E2A91 vom 2025-06-18 (19.06.2025)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2025-ce130e2a91

Fedora Security Advisory FEDORA-2025-E65A55C3D0 vom 2025-06-18 (19.06.2025)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2025-e65a55c3d0

Ubuntu Security Notice USN-7573-2 vom 2025-06-18 (17.06.2025)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-7573-2

OpenBSD 7.7 Errata vom 2025-06-17 (17.06.2025)
Weitere Informationen finden Sie unter: http://www.openbsd.org/errata77.html

OpenBSD 7.6 Errata vom 2025-06-17 (17.06.2025)
Weitere Informationen finden Sie unter: http://www.openbsd.org/errata76.html

SUSE Security Update SUSE-SU-2025:01978-1 vom 2025-06-17 (17.06.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-June/021543.html

Ubuntu Security Notice USN-7573-1 vom 2025-06-17 (17.06.2025)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-7573-1

Xming Changelog 7.7.1.17 vom 2025-06-17 (17.06.2025)
Weitere Informationen finden Sie unter: http://www.straightrunning.com/XmingNotes/changes.php

SUSE Security Update SUSE-SU-2025:01974-1 vom 2025-06-17 (17.06.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-June/021546.html

SUSE Security Update SUSE-SU-2025:01975-1 vom 2025-06-17 (17.06.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-June/021545.html

SUSE Security Update SUSE-SU-2025:01979-1 vom 2025-06-17 (17.06.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-June/021542.html

SUSE Security Update SUSE-SU-2025:01980-1 vom 2025-06-17 (17.06.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-June/021541.html

SUSE Security Update SUSE-SU-2025:01981-1 vom 2025-06-17 (17.06.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-June/021540.html

X.Org Security Advisory: multiple security issues X.Org X server and Xwayland vom 2025-06-17 (17.06.2025)
Weitere Informationen finden Sie unter: https://seclists.org/oss-sec/2025/q2/260

Versionshistorie dieses Sicherheitshinweises

Dies ist die 14. Version des vorliegenden IT-Sicherheitshinweises für X.Org X11 und Xwayland. Bei Bekanntgabe weiterer Updates wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

17.06.2025 - Initiale Fassung
19.06.2025 - Neue Updates von Fedora und SUSE aufgenommen
22.06.2025 - Neue Updates von Red Hat aufgenommen
23.06.2025 - Neue Updates von Red Hat, Oracle Linux und Debian aufgenommen
29.06.2025 - Neue Updates von Oracle Linux und Debian aufgenommen
30.06.2025 - Neue Updates von Red Hat aufgenommen
01.07.2025 - Neue Updates von SUSE aufgenommen
02.07.2025 - Neue Updates von SUSE und Red Hat aufgenommen
06.07.2025 - Neue Updates von Red Hat, openSUSE und SUSE aufgenommen
07.07.2025 - Neue Updates von Oracle Linux und Red Hat aufgenommen
10.07.2025 - Neue Updates von Amazon aufgenommen
23.07.2025 - Neue Updates von Oracle Linux aufgenommen
13.10.2025 - Neue Updates von IBM aufgenommen
17.11.2025 - Neue Updates von XEROX aufgenommen

+++ Redaktioneller Hinweis: Dieser Text wurde auf Basis aktueller BSI-Daten generiert und wird je nach Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter hinweis@news.de entgegen. +++

/roj/news.de

Themen:

Erfahren Sie hier mehr über die journalistischen Standards und die Redaktion von news.de.

Bleiben Sie dran!

Wollen Sie wissen, wie das Thema weitergeht? Wir informieren Sie gerne.

Folgen Sie News.de

© 2025 MM New Media GmbH