Linux-batteriverktyg TLP lagat efter autentiseringsbypassfel

Säkerhetsforskare från SUSE och openSUSE upptäckte en allvarlig autentiseringsbypass i TLP version 1.9.0, ett populärt verktyg för att optimera bärbar datorers batteritid på Linux-system. Spårad som CVE-2025-67859 utnyttjade sårbarheten Polkits föråldrade »unix-process«-ämne, som förlitar sig på process-ID för auktorisering. Denna metod, känd för att vara känslig för race conditions sedan CVE-2013-4288, tillät lokala icke-privilegierade användare att byta ut sina processer under autentiseringskontroller, och få kontroll över strömprofiler och daemon-logning utan administrativa uppgifter. Problemet uppstod med introduktionen av en ny strömdemon i TLP 1.9.0, med en D-Bus-API för systeminställningar. Forskare Matthias Gerstner och Filippo Bonazzi identifierade att angripare kunde utnyttja detta för att godtyckligt ändra konfigurationer i fleranvändarmiljöer, vilket innebar risker för systemmanipulation. Ytterligare fel inkluderade förutsägbara cookie-värden som möjliggjorde obehörig frigörelse av profilhåll, hanterade undantag från felformade förfrågningar och obegränsade profilhåll som kunde leda till tjänstevägranattacker. Dessa utvidgade kollektivt attackytan. Den 16 december 2025 meddelade forskarna TLP:s upstream-utvecklare, som svarade snabbt och tillhandahöll patchar inom fyra dagar. Efter granskning släpptes TLP 1.9.1 den 7 januari 2026, med nyckelförbättringar: byte till Polkits säkra »system bus name«-ämne, användning av kryptografiskt slumpmässiga cookie-värden, begränsning av simultana profilhåll till 16 och förbättrad inmatningsvalidering. Linux-användare och administratörer uppmanas att uppdatera till version 1.9.1 eller senare via sin distributions pakethanterare. Denna händelse belyser behovet av robust säkerhet i verktyg som hanterar privilegierade D-Bus-operationer, där den snabba samarbetsresponsen exemplifierar effektiv sårbarhetshantering.