Опубликован корректирующий выпуск libinput 1.31.3 — библиотеки обработки устройств ввода, используемой современными Linux-десктопами в связке с Wayland-композиторами и X.Org. libinput отвечает за обнаружение устройств, обработку событий и абстракцию ввода: от мышей и тачпадов до графических планшетов. Проект распространяется под лицензией MIT.

Главное изменение выпуска — исправление уязвимости в udev-вспомогательной программе libinput-device-group. Проблема была связана с тем, что значение PHYS, полученное от устройства, попадало в вывод для udev в виде строки KEY=VALUE без достаточной очистки специальных символов. Вредоносное устройство, созданное через uinput или uhid, могло подставить в PHYS символ перевода строки, из-за чего udev воспринимал вывод как две отдельные переменные. В результате это могло привести к выполнению произвольного кода с правами root.

Уязвимость не является удалённой: атакующему нужен локальный доступ и возможность создать вредоносное uinput- или uhid-устройство. Обычно доступ к таким интерфейсам ограничен root, но риск появляется на системах с более широкими udev-правилами. В качестве примера упоминаются конфигурации, где доступ открывается обычным вошедшим в систему пользователям ради поддержки игровых контроллеров и Steam Input, например через пакет steam-devices или похожие правила.

Важное уточнение: ранее в новостях фигурировала версия libinput 1.31.2, но в официальном advisory исправленными версиями указаны libinput 1.31.3 и 1.30.4. Затронуты версии до 1.31.2 и 1.30.3 включительно; CVE на момент публикации ещё не был назначен.

Пользователям рекомендуется обновить системный пакет libinput через штатный менеджер пакетов дистрибутива. В Arch Linux пакет libinput 1.31.3-1 уже появился в репозитории Extra 4 июня 2026 года, в Debian версия 1.31.3-1 принята в unstable в тот же день.

>>> Источник (lore.freedesktop.org)

В библиотеке libinput обнаружено несколько уязвимостей:

1. CVE-2026-35093: Выход за пределы песочницы в плагинах. Ошибка в загрузчике плагинов позволила загружать предварительно скомпилированный байт-код, который не проходит проверку во время выполнения и таким образом не ограничивается песочницей. Это создает возможность для атаки, позволяющей вредоносному плагину получить неограниченный доступ к системе, в зависимости от привилегий пользователя.

2. CVE-2026-35094: Использование после освобождения памяти, ведущие к утечке конфиденциальной информации. Плагин, вызывающий функцию Lua __gc() оставляет «висячий» указатель в имени устройства, который можно вывести в лог. В зависимости от значения в ячейке памяти это может привести к раскрытию конфиденциальной информации.

Уязвимости затрагивают все дистрибутивы с libinput версии 1.30.0 и новее. Однако использование Lua-плагинов возможно только в том случае, если композитор загружает их. В данный момент это касается GNOME 50’s mutter, KWin (git) и Niri (git).
wlroots, sway и river не подвержены атаке.

Дистрибутивы Fedora 43 и 44 используют опцию -Dautoload-plugins, которая приводит к загрузке плагинов независимо от поддержки композитора. Arch, OpenSuSE, Ubuntu, Debian и NixOS не имеют этой опции и/или используют более старые версии libinput.

Затронутые версии: libinput 1.31.0, 1.30.[0-2]
Исправленные версии: libinput 1.31.1, 1.30.3

>>> Подробности (lore.freedesktop.org)

Состоялся новый значительный релиз библиотеки управления устройствами ввода, развиваемой в рамках проекта Freedesktop Wayland, но также используемой в X.org через драйвер xf86-input-libinput.

Библиотека получает и мультиплексирует сырые события различных устройств ввода от ядра (/dev/input), и преобразует их в стандартные примитивы событий ввода для использования приложениями. Поддерживаются почти все классы устройств ввода (кроме джойстиков), включая такие нетривиальные функции как мульти-тач-жесты, сила нажатия, виброотклик, ускорение trackpoint и многое другое.

В новой версии:

• Поддержка device quirks, т.е. ручное конфигурирование аттрибутов устройств пользователем или дистрибутивом через ini-файлы в /etc/libinput или /usr/share/libinput (Документация).
• Перевод документации на движок Sphinx, её переориентация на пользователя, а не разработчика.
• Значительно улучшенная поддержка тачпадов, например фильтрация ладони на некоторых устройствах с полной поддержкой multitouch (Apple).
• Улучшена поддержка прокрутки (scrolling) двумя пальцами: теперь при продолжительной прокрутке вычисляется направление движения (горизонтальное или вертикальное), а события ортогональных направлений гасятся.
• Новый метод расcчёта ускорения при использовании trackpoint (aka красная точка thinkpad).
• Больше не используется усреднение скорости, чтобы не терять точность на качественных устройствах.
• Официальная поддержка FreeBSD.

>>> Подробности (lists.freedesktop.org)