Исследователи в области кибербезопасности обнаружили критические уязвимости в утилите InputPlumber, предназначенной для работы с устройствами ввода в Linux. Эти недостатки позволяют злоумышленникам внедрять нажатия клавиш, красть конфиденциальную информацию и вызывать отказ в обслуживании (Denial-of-Service, DoS). InputPlumber, используемый в дистрибутиве SteamOS от Valve, объединяет физические устройства ввода в виртуальные контроллеры и работает с полными привилегиями суперпользователя (root), что значительно повышает серьёзность угрозы.
Детали уязвимостей
Уязвимости получили идентификаторы CVE-2025-66005 и CVE-2025-14338. Они затрагивают версии InputPlumber ранее v0.69.0. Причиной проблем стали недостаточные проверки авторизации в системе D-Bus, которая обеспечивает межпроцессное взаимодействие. CVE-2025-66005 связана с отсутствием авторизации для интерфейса InputManager в D-Bus в версиях до v0.63.0. Это позволяет локальному злоумышленнику с низкими привилегиями вызвать отказ в обслуживании, получить утечку информации или повысить свои права в системе. Более поздняя уязвимость, CVE-2025-14338, затрагивает версии до v0.69.0. Она включает в себя отключённую по умолчанию аутентификацию через Polkit (набор инструментов для управления правами) и состояние гонки (race condition), что в совокупности приводит к обходу аутентификации с теми же последствиями.
Эксплуатация этих недостатков открывает доступ к двум опасным методам D-Bus. Во-первых, метод "CreateCompositeDevice" некорректно обрабатывает передаваемые ему пути к файлам. Следовательно, атакующий может проверять существование защищённых файлов, исчерпывать память системы путём чтения из специального файла "/dev/zero" или напрямую считывать чувствительные данные, например, из истории команд оболочки пользователя root. Однако наиболее критичным является метод "CreateTargetDevice". Он позволяет создавать виртуальные устройства клавиатуры. В результате злоумышленник получает возможность внедрять произвольные нажатия клавиш в активные пользовательские сессии. Фактически это даёт шанс выполнить команды от имени вошедшего в систему пользователя, что может привести к полному захвату учётной записи и хищению данных.
Проблема актуальна для любого дистрибутива Linux, использующего уязвимые версии InputPlumber. Особое внимание стоит уделить SteamOS, где этот компонент используется по умолчанию. Сервис работает с привилегиями root и предоставляет около 90 свойств через 10 интерфейсов D-Bus, что существенно расширяет поверхность для потенциальной атаки.
Для устранения угрозы разработчики выпустили InputPlumber версии v0.69.0. В этом обновлении реализован ряд ключевых исправлений. Основные изменения включают переход на безопасный объект авторизации Polkit «system bus name», обязательное включение аутентификации Polkit по умолчанию и применение дополнительных параметров усиления безопасности systemd. Компания Valve уже интегрировала исправления в стабильный выпуск SteamOS 3.7.20. Поэтому всем пользователям настоятельно рекомендуется немедленно обновить систему.
Системным администраторам, особенно в корпоративной среде, следует убедиться, что используемая версия InputPlumber не ниже v0.69.0. Кроме того, важно проверить конфигурационные политики Polkit, чтобы гарантировать корректность требований к аутентификации для соответствующих служб. Данные уязвимости были выявлены в ходе планового обзора безопасности специалистами SUSE. Затем информация была передана разработчикам Upstream в рамках скоординированного процесса ответственного разглашения (coordinated disclosure), что позволило своевременно подготовить и выпустить заплатки до публикации деталей эксплойтов.
Ссылки
- https://security.opensuse.org/2026/01/09/inputplumber-lack-of-dbus-auth.html
- https://github.com/ShadowBlip/InputPlumber
- https://github.com/ShadowBlip/InputPlumber/releases/tag/v0.69.0
- https://steamcommunity.com/games/1675200/announcements/detail/500594947381003216
