Yaygın olarak kullanılan bir Linux dizüstü bilgisayar pil optimizasyon aracı olan TLP’de, yerel saldırganların kimlik doğrulama kontrollerini atlamasına ve izinsiz olarak sistem güç ayarlarını değiştirmesine olanak tanıyan kritik bir güvenlik açığı keşfedildi.
OpenSUSE’den güvenlik araştırmacıları, TLP sürüm 1.9.0’daki güç profilleri arka plan programında CVE-2025-67859 olarak izlenen ciddi bir kimlik doğrulama atlama hatası tespit etti.
Güvenlik açığı, Polkit yetkilendirme mekanizmasındaki bir yarış durumundan yararlanarak ayrıcalıklı olmayan yerel kullanıcıların güç yönetimi yapılandırmaları üzerinde yetkisiz kontrol elde etmesine olanak tanıyor.
Kusur, TLP 1.9.0’ın güç ayarlarını kontrol etmek için bir D-Bus API’si içeren yeni bir profil arka plan programı sunmasıyla ortaya çıktı.
| CVE Kimliği | Şiddet | Saldırı Vektörü | Darbe |
|---|---|---|---|
| CVE-2025-67859 | Yüksek | Yerel | Polkit Kimlik Doğrulaması Atlaması |
SUSE’nin paket sorumlusu tarafından talep edilen rutin bir güvenlik incelemesi sırasında araştırmacılar, arka plan programının, CVE-2013-4288’den bu yana savunmasız olduğu bilinen bir yöntem olan, kimlik doğrulama için Polkit’in kullanımdan kaldırılan “unix-process” konusuna dayandığını keşfetti.
Güvenlik açığı, arka plan programının yetkilendirme kontrolleri sırasında süreç tanımlama işlemini güvenli olmayan bir şekilde gerçekleştirmesinden kaynaklanmaktadır.
D-Bus istemcilerinin kimlik doğrulaması yapılırken sistem, arayanın işlem kimliğini (PID) doğrulama için Polkit’e iletir.
Bununla birlikte, PID’nin yakalanması ile Polkit’in bunu doğrulaması arasında, saldırganların işlemlerini daha yüksek ayrıcalıklara sahip bir süreçle değiştirmelerine olanak tanıyan bir yarış durumu mevcuttur.
Saldırı Nasıl Çalışır?
Bu kimlik doğrulama atlaması, yerel kullanıcılara, yönetici kimlik bilgileri gerektirmeden TLP’nin güç profili ayarları ve günlük yapılandırmaları üzerinde tam kontrol sağlar.
Saldırı yerel erişim gerektirse de çok kullanıcılı ortamlarda ve paylaşımlı sistemlerde önemli riskler oluşturuyor.
Araştırmacılar, birincil kimlik doğrulama atlamasının ötesinde üç ek güvenlik sorunu belirledi:
| Sorun Türü | Tanım | Güvenlik Etkisi |
|---|---|---|
| Öngörülebilir Çerez Değerleri | Kimlik doğrulama belirteçleri, sıfırdan başlayarak sıralı tamsayılar kullanır ve bu da onların tahmin edilmesini kolaylaştırır. | Saldırganlar, diğer kullanıcılar tarafından oluşturulan güç yönetimi muhafazalarını ele geçirebilir veya bunlara müdahale edebilir. |
| Hizmet Reddi (DoS) Güvenlik Açığı | Kimlik doğrulama olmadan sınırsız profil muhafazası oluşturulabilir. | Sistem kaynakları tükenebilir ve aşırı bellek kullanımı nedeniyle daemon çökmelerine yol açabilir. |
| İstisna İşleme Kusurları | Hatalı giriş doğrulaması ReleaseProfile yöntem hatalı biçimlendirilmiş parametrelere izin verir. | İşlenmeyen istisnalar tetiklenir, ancak arka plan programı çalışmaya devam ederek kararsızlık riski taşır. |
openSUSE güvenlik ekibi, tüm bulguları 16 Aralık 2025’te TLP’nin yukarı akış geliştiricisine bildirerek koordineli bir açıklama süreci başlattı.
Tatil sezonunda ortaklaşa geliştirilen yamaların ardından, belirlenen tüm güvenlik açıklarına yönelik kapsamlı düzeltmeler içeren TLP 1.9.1 sürümü 7 Ocak 2026’da yayınlandı.
Yamalar, güçlü D-Bus “sistem veri yolu adı” kimlik doğrulamasını uygular ve öngörülebilir çerezleri kriptografik olarak rastgele değerlerle değiştirir.
Maksimum 16 eşzamanlı profil muhafazasını zorunlu kılın ve arka plan programı boyunca giriş doğrulamasını güçlendirin. TLP çalıştıran Linux kullanıcılarının derhal 1.9.1 veya sonraki sürüme yükseltmeleri gerekir.
Güvenlik açığı, güç yönetimi alt sistemlerinde ayrıcalık artışına izin verdiğinden, çok kullanıcılı ortamları yöneten sistem yöneticilerinin bu güncellemeye öncelik vermesi gerekir.
Dağıtım sorumluları bilgilendirildi ve güncellenmiş paketleri standart kanallar aracılığıyla yayınlıyorlar.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
