libinput китепканасында бир нече кемчиликтер табылган:
CVE-2026-35093: Плагиндердеги Sandbox аркылуу өтүүдөгү алсыздык. Плагин жүктөгүчүндөгү ката алдын ала компиляцияланган байткодду жүктөөгө мүмкүндүк берди, ал аткаруу убактысын текшерүүнү айланып өтүп, ошентип, кумкоргонго коюлбайт. Бул зыяндуу плагиндин колдонуучунун укуктарына жараша системага чексиз кирүүсүнө мүмкүндүк берген чабуул бетин түзөт.
CVE-2026-35094: Колдонулгандан кийин купуя маалыматтын агып кетишине алып келүүчү алсыздык. Lua __gc() функциясын чакырган плагин чыгып кетти "асылып" Түзмөктүн аталышындагы каттала турган көрсөткүч. Эстутум уячасындагы мааниге жараша, бул купуя маалыматтын ачыкка чыгышына алып келиши мүмкүн.
Бул кемчиликтер libinput 1.30.0 жана андан кийинки версиялары бар бардык дистрибутивдерге таасир этет. Бирок, Lua плагиндерин колдонуу композитор аларды жүктөгөн учурда гана мүмкүн. Учурда, Бул GNOME 50s мылтыгына тиешелүү., KWin (git) и Нири (гит).
тамырлар, чайпалуу жана дарыя кол салууга алсыз эмес.
Fedora 43 жана 44 дистрибутивдери -Dautoload-plugins опциясын колдонот, ал композитор колдоосуна карабастан плагиндерди жүктөйт. Arch, OpenSuSE, Ubuntu, Debian жана NixOS'то бул опция жок жана/же libinput'тун эски версияларын колдонушат.
Таасирленген версиялар: libinput 1.31.0, 1.30.[0-2]
Оңдолгон версиялар: libinput 1.31.1, 1.30.3
Source: linux.org.ru
