SUSEのセキュリティ研究者は、入力デバイスを仮想入力デバイスに統合するLinuxユーティリティ「InputPlumber」における重大な脆弱性を公開しました。
CVE-2025-66005およびCVE-2025-14338として追跡されているこれらの欠陥は、D-Busシステムサービスの認証メカニズムに影響し、ローカル攻撃者が悪意のある入力を注入し、任意のコードを実行し、サービス拒否状態を引き起こす可能性があります。
InputPlumberは主にLinuxのゲーム環境で利用されており、ValveのSteamOSプラットフォームに統合されています。
これらの脆弱性は、openSUSEコミュニティのメンバーが評価のためにパッケージを提出した際の定期的なセキュリティレビュー中に発見されました。
SUSEのセキュリティチームは、非特権ユーザーが適切な認可なしに機微なD-Busメソッドへアクセスできる複数の認証バイパス問題を特定しました。
最初の脆弱性であるCVE-2025-66005は、v0.63.0より前のバージョンにおけるInputManager D-Busインターフェースで、認可が完全に欠如していることに起因します。
この欠陥により、システム上の任意のローカルユーザーが特権D-Busメソッドにアクセスでき、情報漏えい、ローカルでのサービス拒否攻撃、およびアクティブなユーザーセッション内での権限昇格につながる可能性があります。
CVE-2025-14338はv0.69.0より前のバージョンにおける問題に対処するもので、Polkit認証がデフォルトで無効化されており、かつ競合状態(レースコンディション)に対して脆弱でした。
Polkitサポートがコンパイル時オプションとして利用可能であっても、デフォルトでは無効であり、有効化するための分かりやすい方法がありませんでした。
さらに、認証実装では非推奨の「unix-process」Polkitサブジェクトが使用されており、CVE-2013-4288に類似したPID置換攻撃に対して脆弱です。
これらの脆弱性は、特に危険な2つのD-Busメソッドを露出させます。
CreateCompositeDeviceメソッドは、攻撃者が無許可でファイルの存在確認を行い、/root/.bash_historyのような制限されたファイルから機微情報を漏えいさせ、悪意のある入力によってメモリ枯渇を引き起こすことを可能にします。
CreateTargetDeviceメソッドは仮想キーボードデバイスの作成を可能にし、攻撃者がアクティブなデスクトップセッションやログイン端末に任意のキーストロークを注入できるため、ログイン中ユーザーのコンテキストでコード実行を達成する可能性があります。
協調的な情報公開を受けて、InputPlumberの開発者はv0.69.0をリリースし、ほとんどの問題に対するパッチを含めました。
修正には、「system bus name」Polkitサブジェクトへの切り替え、Polkit認証のデフォルト有効化、systemdのハードニング対策の実装が含まれます。
その後、Valve Corporationはセキュリティ更新を取り込んだSteamOSバージョン3.7.20をリリースしました。
しかし、研究者は、いくつかの側面が未解決のままであると指摘しました。D-Bus APIにおいてファイルパスのパラメータをファイルディスクリプタに置き換えるという推奨は、安定版リリースではまだ実装されておらず、Polkit認証要件を緩和する管理者にとって潜在的な攻撃ベクトルが残されたままとなっています。
翻訳元: https://cyberpress.org/inputplumber-vulnerability/