libinput 1.31.3 с исправлением уязвимости, ведущей к выполнению кода от root
Опубликован корректирующий выпуск libinput 1.31.3 — библиотеки обработки устройств ввода, используемой современными Linux-десктопами в связке с Wayland-композиторами и X.Org. libinput отвечает за обнаружение устройств, обработку событий и абстракцию ввода: от мышей и тачпадов до графических планшетов. Проект распространяется под лицензией MIT.
Главное изменение выпуска — исправление уязвимости в udev-вспомогательной программе libinput-device-group. Проблема была связана с тем, что значение PHYS, полученное от устройства, попадало в вывод для udev в виде строки KEY=VALUE без достаточной очистки специальных символов. Вредоносное устройство, созданное через uinput или uhid, могло подставить в PHYS символ перевода строки, из-за чего udev воспринимал вывод как две отдельные переменные. В результате это могло привести к выполнению произвольного кода с правами root.
Уязвимость не является удалённой: атакующему нужен локальный доступ и возможность создать вредоносное uinput- или uhid-устройство. Обычно доступ к таким интерфейсам ограничен root, но риск появляется на системах с более широкими udev-правилами. В качестве примера упоминаются конфигурации, где доступ открывается обычным вошедшим в систему пользователям ради поддержки игровых контроллеров и Steam Input, например через пакет steam-devices или похожие правила.
Важное уточнение: ранее в новостях фигурировала версия libinput 1.31.2, но в официальном advisory исправленными версиями указаны libinput 1.31.3 и 1.30.4. Затронуты версии до 1.31.2 и 1.30.3 включительно; CVE на момент публикации ещё не был назначен.
Пользователям рекомендуется обновить системный пакет libinput через штатный менеджер пакетов дистрибутива. В Arch Linux пакет libinput 1.31.3-1 уже появился в репозитории Extra 4 июня 2026 года, в Debian версия 1.31.3-1 принята в unstable в тот же день.
>>> Источник (lore.freedesktop.org)