一款用于改善 Linux 游戏体验的工具近日被披露存在高危安全问题,漏洞可能被本地用户利用以接管会话或触发系统崩溃。SUSE 安全团队发布报告指出,输入设备整合工具 InputPlumber(常用于 SteamOS 等环境)在早期版本中几乎未设置任何有效防护。
漏洞编号 CVE-2025-66005 与 CVE-2025-14338 的根本原因在于 InputPlumber 的 D-Bus 服务未正确执行用户身份校验。由于该服务以 root 权限运行,这一设计缺陷直接构成严重的权限提升风险。
SUSE 在常规软件包审计中发现该问题。作为 SteamOS 生态中的关键组件,InputPlumber 通过系统级 D-Bus 服务管理输入设备,但其安全控制机制被发现几乎形同虚设。安全报告指出,最初被审查的版本完全没有任何客户端认证,因此被直接拒绝通过。
尽管后续版本尝试引入 Polkit 授权机制,但实现方式依然存在明显缺陷。报告指出,Polkit 支持仅在编译阶段可选,且默认未启用,导致大量已发布的二进制版本仍处于无认证状态。同时,其实现还涉及对 unix-process Polkit 主题的不安全使用,引入了已知竞态条件漏洞(CVE-2025-14338)。
由于缺乏有效访问控制,系统中任意本地用户都可以调用 InputPlumber 的全部 D-Bus 接口。其中,CreateTargetDevice 和 CreateCompositeDevice 方法尤为危险。
研究人员证实,攻击者可创建虚拟输入设备,并向其他用户的桌面会话或登录界面注入键盘事件,从而以受害用户身份执行任意操作。此外,CreateCompositeDevice 还可被用于探测或泄露高权限文件内容,例如通过错误信息间接暴露 /root/.bash_history 等敏感数据。
在协调披露后,InputPlumber 上游已发布安全更新。v0.69.0 版本默认启用 Polkit 授权,并改用更安全的认证主题,彻底修复相关问题。SUSE 报告同时确认,SteamOS 3.7.20 已集成修复补丁,强烈建议受影响用户尽快升级。
网站资讯
渠道合作
解决方案
更多服务
