关键漏洞信息 CVE编号: CVE-2025-14338, CVE-2025-66005 漏洞类型: - CVE-2025-14338: DBus接口未经授权 - CVE-2025-66005: 缺少默认的Polkit身份验证 受影响产品: openSUSE Tumbleweed 组件: Security 状态: IN_PROGRESS 优先级和严重性: P5 - None, Severity: Normal 详细描述 DBus接口未经授权: 输入设备组合器程序的D-Bus接口似乎未经授权,需要特别注意D-Bus方法的审查。 缺少Polkit身份验证: 最早的版本没有实现任何Polkit身份验证,导致安全问题。 相关链接: - 输入设备组合器项目 - OpenSUSE构建服务 处理状态 当前状态: IN_PROGRESS 最后修改: 2026-01-19 22:16:07 UTC 关键人员: Tobias G?rgens, Matthias Gerstner 评论记录: 多次讨论和更新,包括版本升级、代码审查、与上游协调等。 结论 这个漏洞涉及到InputPlumber程序的安全性问题,主要关注点在于DBus接口的授权和Polkit身份验证的缺失,需要对相关代码进行修改和审查以修复漏洞。目前仍在处理中,等待最终版本的发布和审查完成。