Une vulnérabilité critique dans l’outil de gestion d’énergie TLP pour Linux a été corrigée après que des chercheurs ont découvert qu’elle permettait à des attaquants locaux de contourner l’authentification et de modifier les paramètres système. Cette faille, identifiée dans la version 1.9.0 et suivie sous CVE-2025-67859, provenait d’une condition de course dans le mécanisme Polkit. Les développeurs de TLP ont publié la version 1.9.1 le 7 janvier 2026, résolvant le problème après une divulgation coordonnée.
Des chercheurs en sécurité de SUSE et openSUSE ont découvert un contournement d’authentification grave dans la version 1.9.0 de TLP, un utilitaire populaire pour optimiser l’autonomie des batteries d’ordinateurs portables sous Linux. Suivie sous CVE-2025-67859, la vulnérabilité exploitait le sujet obsolète «unix-process» de Polkit, qui repose sur les ID de processus pour l’autorisation. Cette méthode, connue pour être sensible aux conditions de course depuis CVE-2013-4288, permettait à des utilisateurs locaux non privilégiés de substituer leurs processus lors des vérifications d’authentification, obtenant le contrôle des profils d’alimentation et des journaux du démon sans identifiants administratifs. Le problème est apparu avec l’introduction d’un nouveau démon d’alimentation dans TLP 1.9.0, doté d’une API D-Bus pour les paramètres système. Les chercheurs Matthias Gerstner et Filippo Bonazzi ont identifié que des attaquants pouvaient l’exploiter pour modifier arbitrairement les configurations dans des environnements multi-utilisateurs, posant des risques de falsification du système. Des failles supplémentaires incluaient des valeurs de cookies prévisibles permettant la libération non autorisée de retenues de profils, des exceptions non gérées de requêtes malformées et des retenues de profils illimitées pouvant mener à des attaques par déni de service. Ces éléments élargissaient collectivement la surface d’attaque. Le 16 décembre 2025, les chercheurs ont informé le développeur upstream de TLP, qui a réagi rapidement et fourni des correctifs en quatre jours. Après examen, TLP 1.9.1 a été publié le 7 janvier 2026, implémentant des correctifs clés : passage au sujet sécurisé «system bus name» de Polkit, utilisation de valeurs de cookies aléatoires cryptographiquement, limitation des retenues de profils simultanées à 16 et renforcement de la validation des entrées. Les utilisateurs et administrateurs Linux sont invités à mettre à jour vers la version 1.9.1 ou ultérieure via le gestionnaire de paquets de leur distribution. Cet incident met en lumière la nécessité d’une sécurité robuste dans les utilitaires gérant des opérations D-Bus privilégiées, la réponse collaborative rapide illustrant une gestion efficace des vulnérabilités.
