Уязвимость в KDE LightDM Greeter, повышающая привилегии с пользователя lightdm до root

14.11.2025 11:20

В LightDM KDE Greeter, развиваемой проектом KDE реализации экрана входа в систему, построенной на фреймворке LightDM, выявлена уязвимость (CVE-2025-62876), позволяющая поднять привилегии с непривилегированного пользователя lightdm, под которым запускается LightDM, до пользователя root. Уязвимость устранена в версии lightdm-kde-greeter 6.0.4.

Уязвимость выявлена командой проекта SUSE после рецензирования заявки на добавление пакета lightdm-kde-greeter в репозиторий openSUSE Tumbleweed. Проблема присутствует в DBus-сервисе, позволяющем пользователям настраивать собственные темы оформления экрана входа в систему. Сервис реализован в форме обработчика KAuth, запускаемого с правами root. Уязвимость вызвана наличием в коде отдельной логики для обработки настроек, начинающихся со строки "copy_". Для подобных настроек с правами root вызывалась функция, копирующая заданный файл в каталог /var/lib/lightdm, принадлежащий пользователю lightdm. Данная операция применялась для загрузки изображений из каталога пользователя, которые LightDM не мог прочитать напрямую во время отображения экрана входа в систему из-за прав доступа.

Операция копирования выполняется с правами root и после копирования меняется владелец результирующего файла, поэтому данную возможность можно использовать для копирования в публично доступный каталог /var/lib/lightdm файлов, к которым обычные пользователи не имеют доступа, таких как /etc/shadow. Более того, через создание в каталоге /var/lib/lightdm символической ссылки с именем переносимого файла можно организовать перезапись любых файлов в системе.

Если выполнение обработчика смены темы оформления LightDM разрешено в настройках Polkit для непривилегированных пользователей, то рассмотренная уязвимость позволяет поднять привилегии любого пользователя до root. Тем не менее, на практике в Polkit для выполнения данного действия обычно требуется право "auth_admin_keep", подразумевающее необходимость ввода пароля администратора. В этих условиях атака может быть совершена при наличии доступа с правами пользователя lightdm.

Так как для совершения атаки требуются манипуляции с правами пользователя lightdm проблеме присвоен низкий уровень опасности. Предполагается, что уязвимость может применяться в качестве второго звена для повышения привилегий после успешной эксплуатации иной уязвимости в LightDM, позволившей получить доступ к выполнению кода с правами пользователя lightdm.

исправить +3 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64250-lightdm

Ключевые слова: lightdm

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (18)

1.1, u235 (ok), 12:15, 14/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Срочно переписать на Rust!

2.3, mos87 (ok), 12:17, 14/11/2025 [^] [^^] [^^^] [ответить]	–1 +/–
/thread

3.6, u235 (ok), 12:23, 14/11/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Ещё надо будет сказать "ахалай-махалай", а потом обязательно дунуть! Потому что, если не дунуть, чуда не произойдет!

2.5, Аноним (5), 12:22, 14/11/2025 [^] [^^] [^^^] [ответить]	–3 +/–
Причем тут Rust? Уязвимость вызвана в багой в логике, а не в управлении памятью.

3.7, u235 (ok), 12:27, 14/11/2025 [^] [^^] [^^^] [ответить]	+/–
А баг в логике из-за того, что сишные деды устали вручную управлять памятью, вот и накосячили.

3.8, Жироватт (ok), 12:39, 14/11/2025 Скрыто ботом-модератором [к модератору]	+/–

4.10, НяшМяш (ok), 12:43, 14/11/2025 Скрыто ботом-модератором [к модератору]	–3 +/–

5.13, Жироватт (ok), 13:01, 14/11/2025 Скрыто ботом-модератором [к модератору]	+/–

3.11, Аноним (11), 12:46, 14/11/2025 Скрыто ботом-модератором [к модератору]	+/–

2.12, Аноним (12), 12:56, 14/11/2025 Скрыто ботом-модератором [к модератору]	+/–

1.2, mos87 (ok), 12:16, 14/11/2025 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

>для загрузки изображений из каталога пользователя

необходимые функции, которые никак нельзя вып***ть в какой-нить модуль.

ССЗБ крч.

1.4, Жироватт (ok), 12:18, 14/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
И снова уязвимость уровня "а вот если бы "

1.9, НяшМяш (ok), 12:42, 14/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Не знал, что он ещё жив (kdeшный модуль для lightdm). Кеды вон хотят sddm выкинуть и свой логин пишут, а тут кому-то lightdm понадобился.

1.14, Аноним (14), 13:02, 14/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Все фигня кроме startx

1.15, Аноним (15), 13:12, 14/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Данная операция применялась для загрузки изображений из каталога пользователя, которые LightDM не мог прочитать напрямую во время отображения экрана входа в систему из-за прав доступа. Применяем хак для обхода прав доступа чтобы потом обнаружить что кто-то другой может им воспользоваться.

2.16, Аноним (16), 13:29, 14/11/2025 Скрыто ботом-модератором [к модератору]	+/–

1.17, Аноним (17), 13:38, 14/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ребята, а зачем все эти доступы и прочие рюшечки в 2025 году? Рабочий стол должен открываться сразу после включения компьютера, это же экономит кучу времени и сил.

1.18, eugener (ok), 13:45, 14/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Кстати, LightDM так пока и не научился запускать иксы не под рутом - https://github.com/canonical/lightdm/issues/18 Хотя я так понимаю, с другими дисплейными менеджерами ситуация не лучше, запускать иксы под юзером умеет только GDM или ещё кто-то?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: