SUSEの研究者による包括的なセキュリティ監査により、人気のLinuxバッテリー最適化ユーティリティであるTLPバージョン1.9.0に、重大な認証回避の脆弱性が存在することが明らかになりました。
CVE-2025-67859として追跡されているこの欠陥により、ローカル攻撃者がPolkit認証を回避し、適切な権限なしに電源プロファイルを変更できる可能性があります。
「the laptop power management」ユーティリティの略であるTLPは、Linuxのシステム管理者やエンドユーザーに広く利用されており、ノートPCでノートPCのバッテリー寿命を延ばすために使われています。
バージョン1.9.0で新たに導入された電源デーモンは、システム設定を制御するためのD-Bus APIを実装していますが、セキュリティ研究者は、デーモンの保護的なセキュリティ層を損なう危険な実装を発見しました。
主な問題は、Polkitで非推奨となっている「unix-process」サブジェクトの安全でない使用に起因しており、これは認可判断をプロセスIDに依存しています。
このアプローチは、認証チェックのウィンドウ中に攻撃者がプロセスをより高い権限のものに置き換えられる、よく知られた競合状態(レースコンディション)に対して脆弱です。
研究者のMatthias Gerstner氏とFilippo Bonazzi氏は、ローカルユーザーがこの欠陥を悪用して、管理者資格情報なしに電源プロファイルやデーモンのログ設定を任意に制御できることを特定しました。
個々では深刻度が低いものの、これらの問題は総合的に、悪意ある行為者が利用できる攻撃対象領域を拡大します。
SUSEの研究者は2025年12月16日にTLPのアップストリーム開発者へ連絡し、協調的な情報開示手順を開始しました。
開発者は前向きに対応し、4日以内にパッチを提供しました。レビューと議論を経て、アップストリームは2026年1月7日にTLPバージョン1.9.1をリリースし、推奨された修正をすべて取り込みました。
システム管理者は直ちにTLP 1.9.1以降へ更新してください。TLPにバッテリー管理を依存しているユーザーは、インストールされているバージョンを確認し、ディストリビューションのパッケージマネージャーを通じて更新を適用してください。
複数のLinuxシステムを管理する組織は、パッチ管理スケジュールにおいてこの更新を優先すべきです。
協調的な情報開示プロセスは効果的なセキュリティ実践を示しており、アップストリーム開発者は初回通知から3週間以内に包括的な修正を実装しました。
この事案は、D-Busインターフェースを介して特権操作を扱うシステムユーティリティに対するセキュリティ監査の重要性を浮き彫りにしています。
翻訳元: https://cyberpress.org/linux-battery-utility-vulnerability/