Hack Alerta

TLP 1.9.1 corrige bypass de Polkit e outras falhas no daemon

Por Redação Hack Alerta Publicado em 08/01/2026 08:03 Vazamento de dados Tempo de leitura: 3 min

O TLP 1.9.1 corrige CVE‑2025‑67859, um bypass de Polkit em TLP 1.9.0 que permitia a substituição de PID na autenticação D‑Bus. A atualização também aborda cookies previsíveis, DoS e falhas de tratamento de exceção; administradores devem atualizar imediatamente.

TLP 1.9.1 corrige bypass de Polkit e outras falhas no daemon

Após relatório do openSUSE, o utilitário TLP lançou a versão 1.9.1 que corrige um bypass de autenticação via Polkit (CVE‑2025‑67859) introduzido em 1.9.0.

Resumo técnico

O openSUSE identificou uma falha de autenticação no novo profiles daemon do TLP 1.9.0 (interface D‑Bus) que permitia a substituição do PID usado na verificação do Polkit — um classic race condition. O problema foi rastreado como CVE‑2025‑67859 e classificado como de alta severidade.

Como a exploração funciona

O daemon confiava no sujeito "unix‑process" do Polkit para autorizar chamadas via D‑Bus. Durante a autenticação, o sistema passa o PID do cliente ao Polkit; entretanto, existe uma janela entre a captura do PID e a validação, que permite a um processo não privilegiado fazer swap para um PID de processo com maiores privilégios, obtendo autorização indevida para alterar perfis de energia e configurações de logging.

Outros problemas encontrados

  • Cookies previsíveis: tokens sequenciais começando em zero tornam fácil a predição/colisão de sessões.
  • Vulnerabilidade DoS: possibilidade de criação ilimitada de profile holds sem autenticação, levando ao esgotamento de recursos e crash do daemon.
  • Tratamento de exceções: parâmetros malformados em ReleaseProfile podiam causar exceções não tratadas, afetando estabilidade.

Correções aplicadas em 1.9.1

O TLP 1.9.1, publicado em 7 de janeiro de 2026, implementa autenticação D‑Bus baseada em "system bus name" do Polkit (mais robusta que unix‑process), substitui cookies previsíveis por valores criptograficamente randômicos, limita a 16 o número máximo de profile holds concorrentes e reforça validações de entrada no daemon.

Impacto e recomendações

A exploração exige acesso local ao sistema, o que restringe o vetor a ambientes multiusuário, servidores compartilhados e sistemas onde contas não são segregadas. Apesar disso, a capacidade de manipular configurações de energia e de elevar privilégios localmente pode ser significativa em infraestruturas geridas por usuário comum, bem como em cenários de escalonamento lateral.

Administradores e usuários de Linux que utilizam TLP devem atualizar para a versão 1.9.1 imediatamente. Maintainers de distribuições foram notificados e estão liberando pacotes atualizados pelos mecanismos regulares.

O que falta

Nas fontes citadas não há relatos de exploração ativa em campanhas públicas antes da correção; o openSUSE reportou o problema ao upstream em 16 de dezembro de 2025 e o processo coordenado de disclosure levou à correção colaborativa.

Medidas práticas

  • Atualizar TLP para 1.9.1 via repositório da distribuição ou upstream.
  • Em ambientes multiusuário, revisar permissões locais e segregar contas administrativas.
  • Monitorar logs de D‑Bus e auditorias locais para chamadas atípicas ao daemon de perfis.

Fonte: openSUSE (relatado por Cyber Security News).

Baseado em publicação original de Cyber Security News
Tags: #tlp #polkit #cve-2025-67859 #linux #dbus #openSUSE #privilege-escalation #patch #daemon
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar