LinuxパワーマネジメントツールTLPに存在した深刻な脆弱性が修正された。研究者が、ローカル攻撃者が認証を回避してシステム設定を変更できることを発見したためだ。この欠陥はバージョン1.9.0で特定されCVE-2025-67859として追跡されており、Polkitメカニズムの競合状態に起因する。TLP開発者は2026年1月7日にバージョン1.9.1をリリースし、調整された開示後に問題を解決した。
SUSEおよびopenSUSEのセキュリティ研究者が、Linuxシステムのラップトップバッテリー寿命を最適化する人気ツールTLPバージョン1.9.0に深刻な認証バイパスを発見した。CVE-2025-67859として追跡されるこの脆弱性は、プロセスIDに依存するPolkitの非推奨「unix-process」サブジェクトを悪用した。この方法はCVE-2013-4288以来競合状態に脆弱であることが知られており、ローカル非特権ユーザーが認証チェック中にプロセスを置き換え、管理者資格なしでパワープロファイルとデーモンログを制御できるようにした。問題はTLP 1.9.0で新しく導入されたパワーデーモンにあり、システム設定のためのD-Bus APIを備えている。研究者のMatthias GerstnerとFilippo Bonazziは、マルチユーザー環境で攻撃者が任意の構成を変更可能でシステム改ざんのリスクがあることを特定した。追加の欠陥には、予測可能なクッキー値による不正なプロファイルホールド解除、不正リクエストからの未処理例外、無制限のプロファイルホールドによるサービス拒否攻撃の可能性が含まれ、これらが攻撃対象領域を拡大した。2025年12月16日、研究者はTLPの上流開発者に通知し、開発者は4日以内に迅速に応答してパッチを提供した。レビュー後、2026年1月7日にTLP 1.9.1がリリースされ、主な修正としてPolkitのセキュアな「system bus name」サブジェクトへの切り替え、暗号論的にランダムなクッキー値の使用、同時プロファイルホールドを16に制限、入力検証の強化が実施された。Linuxユーザーおよび管理者は、ディストリビューションのパッケージマネージャーを通じてバージョン1.9.1以降への更新を推奨される。この事件は、特権D-Bus操作を扱うツールの堅牢なセキュリティの必要性を強調し、迅速な協力対応が効果的な脆弱性管理の好例を示している。
