Уязвимость в KDE LightDM Greeter, повышающая привилегии с пользователя lightdm до root

14.11.2025 11:20

В LightDM KDE Greeter, развиваемой проектом KDE реализации экрана входа в систему, построенной на фреймворке LightDM, выявлена уязвимость (CVE-2025-62876), позволяющая поднять привилегии с непривилегированного пользователя lightdm, под которым запускается LightDM, до пользователя root. Уязвимость устранена в версии lightdm-kde-greeter 6.0.4.

Уязвимость выявлена командой проекта SUSE после рецензирования заявки на добавление пакета lightdm-kde-greeter в репозиторий openSUSE Tumbleweed. Проблема присутствует в DBus-сервисе, позволяющем пользователям настраивать собственные темы оформления экрана входа в систему. Сервис реализован в форме обработчика KAuth, запускаемого с правами root. Уязвимость вызвана наличием в коде отдельной логики для обработки настроек, начинающихся со строки "copy_". Для подобных настроек с правами root вызывалась функция, копирующая заданный файл в каталог /var/lib/lightdm, принадлежащий пользователю lightdm. Данная операция применялась для загрузки изображений из каталога пользователя, которые LightDM не мог прочитать напрямую во время отображения экрана входа в систему из-за прав доступа.

Операция копирования выполняется с правами root и после копирования меняется владелец результирующего файла, поэтому данную возможность можно использовать для копирования в публично доступный каталог /var/lib/lightdm файлов, к которым обычные пользователи не имеют доступа, таких как /etc/shadow. Более того, через создание в каталоге /var/lib/lightdm символической ссылки с именем переносимого файла можно организовать перезапись любых файлов в системе.

Если выполнение обработчика смены темы оформления LightDM разрешено в настройках Polkit для непривилегированных пользователей, то рассмотренная уязвимость позволяет поднять привилегии любого пользователя до root. Тем не менее, на практике в Polkit для выполнения данного действия обычно требуется право "auth_admin_keep", подразумевающее необходимость ввода пароля администратора. В этих условиях атака может быть совершена при наличии доступа с правами пользователя lightdm.

Так как для совершения атаки требуются манипуляции с правами пользователя lightdm проблеме присвоен низкий уровень опасности. Предполагается, что уязвимость может применяться в качестве второго звена для повышения привилегий после успешной эксплуатации иной уязвимости в LightDM, позволившей получить доступ к выполнению кода с правами пользователя lightdm.

исправить +17 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64250-lightdm

Ключевые слова: lightdm

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (29)

1.2, mos87 (ok), 12:16, 14/11/2025 [ответить] [﹢﹢﹢] [ · · · ]

+8 +/–

>для загрузки изображений из каталога пользователя

необходимые функции, которые никак нельзя вып***ть в какой-нить модуль.

ССЗБ крч.

1.4, Жироватт (ok), 12:18, 14/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
И снова уязвимость уровня "а вот если бы "

1.9, НяшМяш (ok), 12:42, 14/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
Не знал, что он ещё жив (kdeшный модуль для lightdm). Кеды вон хотят sddm выкинуть и свой логин пишут, а тут кому-то lightdm понадобился.

1.14, Аноним (14), 13:02, 14/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+10 +/–
Все фигня кроме startx

1.15, Аноним (15), 13:12, 14/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> Данная операция применялась для загрузки изображений из каталога пользователя, которые LightDM не мог прочитать напрямую во время отображения экрана входа в систему из-за прав доступа. Применяем хак для обхода прав доступа чтобы потом обнаружить что кто-то другой может им воспользоваться.

1.17, Аноним (17), 13:38, 14/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Ребята, а зачем все эти доступы и прочие рюшечки в 2025 году? Рабочий стол должен открываться сразу после включения компьютера, это же экономит кучу времени и сил.

2.19, Ганс Грубер (?), 13:51, 14/11/2025 [^] [^^] [^^^] [ответить]	+6 +/–
Ну так если автологин включить - он сразу и открывается

1.18, eugener (ok), 13:45, 14/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Кстати, LightDM так пока и не научился запускать иксы не под рутом - https://github.com/canonical/lightdm/issues/18 Хотя я так понимаю, с другими дисплейными менеджерами ситуация не лучше, запускать иксы под юзером умеет только GDM (и то если драйвер не nvidia) или ещё кто-то?

2.20, Аноним (20), 14:05, 14/11/2025 [^] [^^] [^^^] [ответить]	+/–
Sddm умеет, но не из коробки. В том числе на nvidia работает.

3.27, 12yoexpert (ok), 16:20, 14/11/2025 [^] [^^] [^^^] [ответить]	+/–
там одно значение в конфиге выставить. я бы сказал - вполне себе умеет искаропки

2.21, Аноним (20), 14:07, 14/11/2025 [^] [^^] [^^^] [ответить]	+/–
Подождите, это чего, gdm даже этого не умеет? В sddm вот достаточно пару строчек в конфиг добавить. И с nvidia прекрасно работает. Не удивлён.

2.29, Аноним (29), 16:57, 14/11/2025 [^] [^^] [^^^] [ответить]	+/–
Реально? Кек, ещё одна причина просто логиниться в терминал через getty и делать exec startx.

3.33, Аноним (20), 19:28, 14/11/2025 [^] [^^] [^^^] [ответить]	+/–
Ну правильно, делай XDG_SESSION_TYPE=wayland dbus-run-session startplasma-wayland чтобы ничего левого не висело в фоне. Только как избавиться от xwayland тебе придётся подумать: kwin без xwayland не запускается.

4.34, Аноним (34), 19:51, 14/11/2025 [^] [^^] [^^^] [ответить]	+/–
Может дубас, а то не вижу тут разницы между иксами и вяленд. Безопасный только протокол не помог.(

5.35, Аноним (20), 20:08, 14/11/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Разница в том, что вейланд без dbus и какого-нибудь seatd-launch с loginctl не работает.

6.36, Аноним (34), 20:11, 14/11/2025 [^] [^^] [^^^] [ответить]	+1 +/–
И даже тут иксы лучше.) Срочно переписывайте сами знаете на чем.

7.37, Аноним (20), 20:18, 14/11/2025 [^] [^^] [^^^] [ответить]	+/–
> И даже тут иксы лучше.) Срочно переписывайте сами знаете на чем. Так иксы придумали задолго до возникновения идеи о том, что дырявые монолитные иксы с правами суперпользователя -- это не очень хорошо.

8.38, Аноним (34), 20:36, 14/11/2025 [^] [^^] [^^^] [ответить]	+/–
Вяленд пытался,но не смог не смотря на все идеи ... текст свёрнут, показать

6.41, Аноним (41), 00:44, 15/11/2025 [^] [^^] [^^^] [ответить]	+/–
> вейланд без dbus и какого-нибудь seatd-launch с loginctl не работает. А в вейланде хоть что-то работает? Постоянно пишут, что что-нибудь да не работает. Хотя в Иксах всё работает.

7.43, Аноним (20), 09:29, 15/11/2025 [^] [^^] [^^^] [ответить]	+/–
>> вейланд без dbus и какого-нибудь seatd-launch с loginctl не работает. > А в вейланде хоть что-то работает? Постоянно пишут, что что-нибудь да не > работает. Хотя в Иксах всё работает. Если ты серьёзно спрашиваешь, то для рядового (и не очень) пользователя нет отличий между вейландом и иксами. Ну, кроме очевидных проблем с позиционированием окон. На практике, конечно, есть плюсы и минусы. Плюсов у вейланда больше, и, как результат, от иксов все давно отказались. Ну, собственно, с тех пор, как на nvidia заработало (бонусом explicit sync и даже вулкан теперь не зависает), его стали допиливать гораздо активнее, так что, все должны дружно лизать ноги куртке.

1.24, Аноним (24), 14:57, 14/11/2025 [ответить] [﹢﹢﹢] [ · · · ]

–2 +/–

> We reported these issues to KDE security on 2025-09-04 offering coordinated disclosure, but we initially had difficulties setting up the process with them. Upstream did not clearly express the desire to practice coordinated disclosure, no (preliminary) publication date could be set and no confirmation of the issues was received.

Open sauce - говорили они.
1000 глаз - говорили они.
Любой может прислать патч - говорили они.

По факту: "мы даже не горим желанием фиксить дырку дыры".

Тьфу ты.

2.26, anonymos (?), 15:29, 14/11/2025 [^] [^^] [^^^] [ответить]	+/–
Так разводят на слабо детишек ))) Я уверен, ты знаешь куда тебе нужно пойти )))

2.28, Аноним (28), 16:24, 14/11/2025 [^] [^^] [^^^] [ответить]	+1 +/–
>Open sauce Рецепт кетчупа без патентов, что-ли?

3.45, Аноним (45), 11:56, 15/11/2025 [^] [^^] [^^^] [ответить]	+/–
Если вы не понимаете эту шутку, то я вам сочувствую.

2.42, Аноним (42), 07:21, 15/11/2025 [^] [^^] [^^^] [ответить]	+/–
> "мы даже не горим желанием фиксить дырку дыры" Легаси оно такое. По дефолту идёт SDDM, который без 5 минут тоже уже легаси. А значит ЛайтДМ - без 5 минут легаси в квадрате.

1.30, Аноним (30), 18:40, 14/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Пофикшена не будет, так как LightDM не сопровождается, даже иксы от не-рута не поддерживает.

1.31, localhostadmin (ok), 18:40, 14/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Никогда не понимал смысла этих лайтдмов, цвмов и сддмов. Дефолтный логин вполне себе нормально работает

2.44, Аноним (44), 10:08, 15/11/2025 [^] [^^] [^^^] [ответить]	+/–
Можно прикрутить что-то вроде greetd с tuigreet

1.46, Шарп (ok), 13:18, 15/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>https://github.com/canonical/lightdm/ >canonical А я в этих ребятах и не сомневался.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: