Опубликован корректирующий выпуск libinput 1.31.3 — библиотеки обработки устройств ввода, используемой современными Linux-десктопами в связке с Wayland-композиторами и X.Org. libinput отвечает за обнаружение устройств, обработку событий и абстракцию ввода: от мышей и тачпадов до графических планшетов. Проект распространяется под лицензией MIT.

Главное изменение выпуска — исправление уязвимости в udev-вспомогательной программе libinput-device-group. Проблема была связана с тем, что значение PHYS, полученное от устройства, попадало в вывод для udev в виде строки KEY=VALUE без достаточной очистки специальных символов. Вредоносное устройство, созданное через uinput или uhid, могло подставить в PHYS символ перевода строки, из-за чего udev воспринимал вывод как две отдельные переменные. В результате это могло привести к выполнению произвольного кода с правами root.

Уязвимость не является удалённой: атакующему нужен локальный доступ и возможность создать вредоносное uinput- или uhid-устройство. Обычно доступ к таким интерфейсам ограничен root, но риск появляется на системах с более широкими udev-правилами. В качестве примера упоминаются конфигурации, где доступ открывается обычным вошедшим в систему пользователям ради поддержки игровых контроллеров и Steam Input, например через пакет steam-devices или похожие правила.

Важное уточнение: ранее в новостях фигурировала версия libinput 1.31.2, но в официальном advisory исправленными версиями указаны libinput 1.31.3 и 1.30.4. Затронуты версии до 1.31.2 и 1.30.3 включительно; CVE на момент публикации ещё не был назначен.

Пользователям рекомендуется обновить системный пакет libinput через штатный менеджер пакетов дистрибутива. В Arch Linux пакет libinput 1.31.3-1 уже появился в репозитории Extra 4 июня 2026 года, в Debian версия 1.31.3-1 принята в unstable в тот же день.

>>> Источник (lore.freedesktop.org)

Разработчики X.Org выпустили xorg-server 21.1.23 и XWayland 24.1.12, закрыв сразу девять уязвимостей в X.Org X Server и XWayland. Исправления опубликованы 2 июня 2026 года; в официальном каталоге X.Org уже доступны исходные архивы xorg-server-21.1.23 и xwayland-24.1.12.

Проблемы затрагивают как классический X.Org Server, так и XWayland — компонент, через который X11-приложения работают внутри Wayland-сеанса. Поэтому обновление важно не только для пользователей полноценного X11-сеанса, но и для тех, кто уже перешёл на Wayland, но продолжает запускать старые X11-приложения и игры.

CVE на момент раскрытия ещё не были назначены, поэтому в бюллетене уязвимости указаны через идентификаторы ZDI-CAN и описания проблем. Восемь ошибок переданы анонимным исследователем через TrendAI Zero Day Initiative, ещё одну обнаружил разработчик Red Hat и давний участник X.Org Питер Хаттерер.

( читать дальше... )

>>> Источник (seclists.org)

Исследователь безопасности Asim Manizada раскрыл уязвимость CIFSwitch — локальное повышение привилегий в связке ядра Linux и пользовательского пакета cifs-utils. Проблема затрагивает путь обработки CIFS/SMB Kerberos/SPNEGO upcall, то есть механизм, через который CIFS-клиент ядра запрашивает у пользовательского helper’а данные для Kerberos-аутентификации при монтировании SMB-ресурсов. Описание опубликовано после истечения эмбарго linux-distros; идентификатор CVE на момент публикации ещё не был назначен.

Суть уязвимости в том, что непривилегированный пользователь мог вызвать request_key("cifs.spnego", ...) и передать поддельное описание ключа. В нормальном сценарии такую строку должен формировать сам CIFS-клиент ядра: в ней содержатся сведения о сервере, UID, credential UID, PID, цели upcall и других параметрах. Однако ядро не проверяло, что описание действительно пришло из CIFS-подсистемы, а cifs.upcall, запускаемый от root через стандартное правило request-key, доверял этим полям как данным, созданным ядром.

( читать дальше... )

>>> Источник (heyitsas.im)

IBM и Red Hat объявили о запуске инициативы Project Lightwell, в рамках которой компании намерены вложить 5 млрд долларов в защиту открытого программного обеспечения и цепочек поставки ПО. Проект представлен как «доверенный центр координации» для поиска, проверки и исправления уязвимостей в open source-компонентах, используемых корпоративными заказчиками.

Суть Project Lightwell — распространить привычную для Red Hat модель сопровождения корпоративного open source за пределы собственных продуктов. Если раньше компания тестировала, подписывала, поставляла и отправляла исправления upstream главным образом для компонентов своих платформ, то теперь этот подход хотят применить к более широкому набору зависимостей: независимым библиотекам, языковым toolchain, AI-фреймворкам и платформам потоковой обработки данных.

( читать дальше... )

>>> Источник (ibm.com)

Опубликован proof-of-concept для уязвимости DirtyDecrypt, также известной как DirtyCBC, позволяющей локальному непривилегированному пользователю получить права root на некоторых системах Linux. Проблема находится в коде rxgk подсистемы RxRPC и связана с записью в page cache из-за отсутствующей проверки copy-on-write в функции rxgk_decrypt_skb(). О публикации PoC 18 мая 2026 года сообщило издание BleepingComputer; сам PoC размещён в репозитории команды V12.

( читать дальше... )

>>> Источник (bleepingcomputer.com)

За последние несколько дней были выявлены сразу несколько серьёзных уязвимостей, причём значительная их часть допускает удалённую эксплуатацию.

( читать дальше... )

>>> Источник: OpenNET (opennet.ru)

В библиотеке libinput обнаружено несколько уязвимостей:

1. CVE-2026-35093: Выход за пределы песочницы в плагинах. Ошибка в загрузчике плагинов позволила загружать предварительно скомпилированный байт-код, который не проходит проверку во время выполнения и таким образом не ограничивается песочницей. Это создает возможность для атаки, позволяющей вредоносному плагину получить неограниченный доступ к системе, в зависимости от привилегий пользователя.

2. CVE-2026-35094: Использование после освобождения памяти, ведущие к утечке конфиденциальной информации. Плагин, вызывающий функцию Lua __gc() оставляет «висячий» указатель в имени устройства, который можно вывести в лог. В зависимости от значения в ячейке памяти это может привести к раскрытию конфиденциальной информации.

Уязвимости затрагивают все дистрибутивы с libinput версии 1.30.0 и новее. Однако использование Lua-плагинов возможно только в том случае, если композитор загружает их. В данный момент это касается GNOME 50’s mutter, KWin (git) и Niri (git).
wlroots, sway и river не подвержены атаке.

Дистрибутивы Fedora 43 и 44 используют опцию -Dautoload-plugins, которая приводит к загрузке плагинов независимо от поддержки композитора. Arch, OpenSuSE, Ubuntu, Debian и NixOS не имеют этой опции и/или используют более старые версии libinput.

Затронутые версии: libinput 1.31.0, 1.30.[0-2]
Исправленные версии: libinput 1.31.1, 1.30.3

>>> Подробности (lore.freedesktop.org)

Грег Кроа-Хартман анонсировал первую уязвимость с присвоенным CVE в части кода на Rust в Mainline-ядре.

Уязвимость обнаружена в коде подсистемы Binder, переписанном на Rust. Возможное состояние гонки в unsafe блоке может повредить указатели связанного списка и привести к краху ядра.

Уязвимость воспроизводится в ядре 6.18 при использовании нового, переписанного на Rust драйвера Binder.

>>> Оригинал новости на Phoronix (phoronix.com)

Дальнейшее существование организации MITRE, деятельность которой связана с ведением базы данных уязвимостей CVE, а также списков видов уязвимостей CWE поставлено под угрозу. Министерство внутренней безопасности США не стало продлевать контракт с организацией в части финансирования работы по назначению идентификаторов уязвимостей. Кроме того, имеет место быть и общее сокращение финансирования, в результате которого только за этот месяц было уволено более 400 сотрудников. Если не будет найдено альтернативного решения по поддержанию деятельности программы, то уже сегодня может быть остановлено присвоение новых идентификаторов.

>>> https://www.opennet.ru/opennews/art.shtml?num=63085 (opennet.ru)

Обновлена утилита для синхронизации файлов Rsync с устранением 6 достаточно критичных уязвимостей. Для совершения атаки с применением некоторых их них достаточно анонимного подключения к серверу Rsync с доступом на чтение.

( читать дальше... )

>>> Подробности (github.com)

В сентябре 2024 года была выявлена критическая уязвимость CVE-2024-8767 (оценка 9.9 по CVSS), затрагивающая плагины Acronis Backup на платформах cPanel, WHM, Plesk и DirectAdmin, работающих на Linux. Проблема заключается в избыточных привилегиях, что позволяет злоумышленникам удалённо раскрывать и изменять конфиденциальные данные, а также выполнять несанкционированные операции. Уязвимость поражает сборки плагинов до 619 (cPanel), 555 (Plesk) и 147 (DirectAdmin). Важность обновления нельзя недооценивать: пользователи, не установившие патчи, рискуют полной компрометацией системы.

Эксперты по безопасности настоятельно рекомендуют обновить системы как можно скорее, особенно если плагины Acronis Backup используются для защиты критически важных данных.

>>> Подробности (nist.gov)

Состоялся очередной выпуск curl, утилиты и библиотеки для передачи данных по сети. За 25 лет развития проекта в curl была реализована поддержка множества сетевых протоколов, таких как HTTP, Gopher, FTP, SMTP, IMAP, POP3, SMB и MQTT. Библиотеку libcurl используют такие важные для сообщества проекты как Git и LibreOffice. Код проекта распространяется под лицензией Curl (вариант лицензии MIT).

Выпуск примечателен сразу по двум причинам:

• добавлена поддержка протокола IPFS;
• исправлена опасная уязвимость в реализации протокола SOCKS5;

( читать дальше... )

>>> Подробности (curl.se)

Компания Google опубликовала информацию и уже закрыла уязвимость в библиотеке libwebp, которая могла приводить к удалённому выполнению кода, когда пользовать просто открывает сайт. Библиотека libwebp используется во всех браузерах на движке Chromium, а также в приложениях на базе electron, в браузере Mozilla Firefox, Gimp, Inkscape, LibreOffice, Telegram, Thunderbird, ffmpeg и другом программном обеспечении. Затронуты также и другие операционные системы.

Суть уязвимости в переполнении буфера, которая позволяет злоумышленнику подготовить специальное WebP изображение, при открытии которого на машине пользователя выполнится код. Google не раскрывает подробности механизма эксплуатации уязвимости, но утверждает, что в сети уже доступны рабочие эксплоиты, основанные на ней.

Всем пользователям рекомендуется обновиться как можно скорее.

>>> Подробности (cve.org)

А именно:

• CVE-2022-28738: двойное высвобождение памяти в регулярных выражениях. Проявляется на специально созданных входных строках. Хоть в целом и не следует создавать регулярные выражения из строк, полученных из недоверенных источников — уязвимость подтверждена и исправлена. Затронутые ветки: 3.0 и 3.1, ветки 2.6 и 2.7 не затронуты.

• CVE-2022-28739: чтение данных за пределами буфера при конвертации строк в числа с плавающей точкой. Присутствует во внутренней функции, использующейся, например, в Kernel#Float и String#to_f. Обычно приводит к ошибке сегментации и краху процесса, но в определённых условиях может использоваться для чтения памяти за пределами буфера. Затронуты ветки 2.6, 2.7, 3.0 и 3.1.

Спасибо piao за обнаружение уязвимостей.

Также следует отметить, что, начиная с этих выпусков, поддержка ветки 2.6 прекращается и исправлений новых уязвимостей не будет — возможны исправления только очень серьёзных регрессий. Ветка 2.7 же переходит из фазы полноценной поддержки в фазу обновлений безопасности, которая будет длиться год. Рекомендуется уже сейчас начать перевод проектов на использование версий Ruby 3.0 или 3.1.

Скачать:

>>> 3.1.2

>>> 3.0.4

>>> 2.7.6

>>> 2.6.10 (ruby-lang.org)

Уязвимость в компоненте pkexec пакета Polkit, идентифицированная как CVE-2021-4034 (PwnKit), присутствует в конфигурации всех основных дистрибутивов Linux и может быть использована для получения привилегий root в системе, предупреждают исследователи из Qualys.

Уязвимый участок кода был отслежен до начального коммита pkexec, более 12 лет назад, что означает, что все текущие версии Polkit затронуты.

Бхарат Джоги, директор по исследованию уязвимостей и угроз в Qualys, пояснил, что PwnKit — это «уязвимость повреждения памяти в Polkit, которая позволяет любому непривилегированному пользователю получить полные привилегии root на уязвимой системе, при использовании конфигурации Polkit по умолчанию».

Код эксплойта для доказательства концепции (PoC), уже стал общедоступным.

>>> Подробности (bleepingcomputer.com)

Wireshark — самый передовой и широко используемый анализатор сетевых протоколов в мире. Текущие релизы связаны с исправлениями серьёзных уязвимостей.

( читать дальше... )

>>> Страница загрузки

>>> Подробности (wireshark.org)

Выпущены обновлённые версии 3.2.1, 3.1.2, 3.0.2 и 2.0.1 гема date, содержащие исправление безопасности, связанное с уязвимостью типа ReDoS (отказ от обслуживания в регулярных выражениях) в методах разбора дат. С её помощью можно совершить реальную DoS-атаку.

( читать дальше... )

Спасибо svalkanov за обнаружение уязвимости.

>>> Источник (ruby-lang.org)

Netfilter — подсистема ядра, более известная по пользовательской утилите iptables, предоставляющей для неё интерфейс командной строки, и используемой для управления правилами брандмауэра.

CVE-2021-22555 при определённых условиях позволяет повышение привилегий. Уязвимость впервые появилась в Linux 2.6.19-rc1, но для её эксплуатации непривилегированному пользователю необходима функциональность user namespaces, появившаяся в 3.8 версии ядра, и которая может быть отключена в зависимости от дистрибутива.

В Arch Linux, Debian и Fedora исправления уже подготовили, а в openSUSE и Ubuntu, где user namespaces по-умолчанию включены, ещё нет.

Уязвимость связана с записью за пределы буфера (write out-of-bounds) и использованием данных в памяти после её освобождения (use-after-free). Она была использована для обхода изоляции контейнеров в kCTF demo cluster, за что Google обещала награду от $5000 до $10 000. Исследователь в сфере безопасности Andy Nguyen, обнаруживший уязвимость, собирается потратить выигранные $10 000 на благотворительность, в этом случае Google удвоит пожертвование.

>>> Подробности (google.github.io)

В реализации системного вызова futex (fast userspace mutex) было обнаружено и устранено использование стековой памяти после освобождения. Это, в свою очередь, позволяло атакующему выполнить свой код в контексте ядра, со всеми вытекающими из этого последствиями, с точки зрения безопасности. Уязвимость находилась в коде обработчика ошибки.

Исправление данной уязвимости появилось в Linux mainline 28 января и позавчера попало в ядра 5.10.12, 5.4.94, 4.19.172, 4.14.218.

Во время обсуждения данного исправления было высказано предположения, что данная уязвимость существует во всех ядрах, начиная с 2008 года:

( читать дальше... )

>>> CVE-2021-3347 (mitre.org)

Уязвимость заключается в возможности удалённого атакующего получить доступ к директориям за пределами экспортируемой по NFS, через вызов READDIRPLUS на .. корневого экспортируемого каталога.

Уязвимость исправлена в вышедшем 23 января ядре 5.10.10, а так же во всех остальных поддерживаемых версиях ядер, обновлённых в этот день:

( читать дальше... )

>>> Подробности (vuldb.com)