Proteja seu Debian da escalada de privilégios CVE-2026-50292 no libinput. Aprenda a verificar, corrigir e mitigar a falha com scripts prontos, comandos diretos e livros recomendados para hardening do sistema.
Em 11 de junho de 2026, foi emitido um aviso de segurança (DSA-6339-1) a respeito da biblioteca libinput – responsável pelo gerenciamento de dispositivos de entrada em praticamente todos os Linux modernos (teclados, mouses, touchpads, controles de jogos, etc.).
A vulnerabilidade, identificada como CVE-2026-50292, reside em um helper do udev chamado libinput-device-group, que não realizava a sanitização adequada de propriedades do dispositivo.
Isso permitia que um atacante local criasse um dispositivo falso (via /dev/uinput ou dispositivos Bluetooth) com uma quebra de linha maliciosa no atributo "PHYS". O udev interpretava essa quebra de linha, injetando propriedades arbitrárias e, consequentemente, executando comandos com privilégios de root.
A exploração normalmente exigiria acesso root para criar esses dispositivos falsos. No entanto, cenários comuns, como a instalação do pacote steam-devices (necessário para o funcionamento correto de controles de jogos), abriam a porta para qualquer usuário da sessão explorar a falha.
Como verificar se você está vulnerável (Debian)
Para sistemas Debian (Bookworm, Trixie e Sid), utilize os comandos abaixo no terminal:
# 1. Verifique a versão do pacote libinput instalado: dpkg -l | grep libinput # 2. Consulte as informações detalhadas do pacote: apt show libinput # 3. Para sistemas com libinput-tools instalado, confira a versão do binário: libinput --version
Script de automação para aplicar a correção (Debian)
Abaixo está um script Bash totalmente funcional que automatiza a verificação e aplicação da correção. Ele detecta a distribuição, atualiza os pacotes e reinicia os serviços necessários.
#!/bin/bash # Script: fix-libinput-vuln.sh # Descrição: Verifica e corrige automaticamente a vulnerabilidade CVE-2026-50292 no Debian. # Compatível com: Debian 11 (Bullseye), 12 (Bookworm) e 13 (Trixie). set -e # Interrompe o script em caso de erro set -u # Interrompe se usar variável não definida GREEN='\033[0;32m' RED='\033[0;31m' NC='\033[0m' echo "=== Script de correção para CVE-2026-50292 (libinput) ===" # Verifica se o sistema é Debian if ! command -v apt &> /dev/null; then echo -e "${RED}[ERRO] Sistema não baseado em Debian/APT. Abortando.${NC}" exit 1 fi echo "[1/4] Atualizando lista de pacotes..." sudo apt update echo "[2/4] Verificando versão atual do libinput..." current_version=$(dpkg -l | grep -E '^ii\s+libinput\s+' | awk '{print $3}') echo "Versão atual: $current_version" echo "[3/4] Atualizando o sistema (dry-run primeiro)..." sudo apt upgrade --dry-run libinput echo "[4/4] Aplicando a correção via upgrade do sistema..." sudo apt upgrade libinput -y echo -e "${GREEN}[SUCESSO] Aplicação da correção concluída.${NC}" echo "Recomenda-se reiniciar o sistema ou ao menos reiniciar o udev:" echo " sudo systemctl restart systemd-udevd" echo " sudo udevadm control --reload-rules && sudo udevadm trigger"
📗 Recomendação de Leitura
Segurança em servidores Linux: Ataque e Defesa (anúncio) -> https://amzn.to/4e12PgB
Se você prefere estudar em português e quer aprender a "pensar como um hacker" para se antecipar a invasões, essa é a pedida! O livro ensina a usar as ferramentas prediletas dos invasores (como Nmap e Netcat) a seu favor, blindando seus sistemas.
Eu ganho uma comissão quando você faz uma compra.
Mitigação alternativa (caso não possa atualizar agora)
Se a aplicação da correção não for possível imediatamente, adote uma ou mais das seguintes medidas de mitigação:
Restringir acesso ao /dev/uinput via udev: crie uma regra udev personalizada para bloquear a criação de dispositivos de entrada falsos.
echo 'KERNEL=="uinput", MODE="0600", OWNER="root", GROUP="root"' | sudo tee /etc/udev/rules.d/99-block-uinput.rules sudo udevadm control --reload-rules sudo udevadm trigger
Configurar perfis AppArmor: utilize perfis para restringir o que aplicações (como Steam, navegadores, etc.) podem acessar do sistema.
sudo apt install apparmor-profiles apparmor-utils sudo aa-enforce /etc/apparmor.d/*
Bloquear a criação de dispositivos Bluetooth que possam ser usados na exploração.
sudo systemctl mask bluetooth.service --now
Conclusão
A vulnerabilidade CVE-2026-50292 no libinput serve como um poderoso lembrete: componentes de sistema que consideramos triviais podem se tornar vetores de ataque sérios. A combinação de um helper udev mal sanitizado com pacotes como steam-devices transformou uma falha teórica (que exigiria acesso root) em um risco prático para qualquer usuário da sessão.
Manter o sistema atualizado (apt upgrade) é a defesa imediata. Mas, a verdadeira segurança vem de práticas contínuas: monitoramento de CVEs, hardening via AppArmor, auditoria de regras udev e atualizações regulares. Esta vulnerabilidade foi detectada e corrigida em junho de 2026, mas a próxima ameaça pode surgir a qualquer momento. Mantenha-se informado e proativo.
Nenhum comentário:
Postar um comentário