Содержимое
В демоне PackageKit обнаружена новая уязвимость, получившая название Pack2TheRoot, которая позволяет локальным пользователям Linux устанавливать или удалять системные пакеты и получать права root. Уязвимость отслеживается как CVE-2026-41651 (CVSS 8,8 из 10) и сохраняется в демоне PackageKit уже почти 12 лет. Ранее некоторая информация об уязвимости была опубличена вместе с PackageKit 1.3.5, устраняющей ее. Однако технические подробности и PoC до сих пор не раскрыты, оставляя временной лаг для распространения исправлений. Согласно расследованиюDeutsche Telekom, причиной ошибки является механизм, используемый PackageKit для обработки запросов на управление пакетами. В частности, исследователи обнаружили, что команды типа pkcon install могут выполняться без аутентификации при определенных условиях в системе Fedora, что позволяет им устанавливать системный пакет. Используя Claude Opus, исследователи дополнительно изучили потенциал использования этого поведения и, собственно, обнаружили уязвимость CVE-2026-41651. Red Team компании Deutsche Telekom сообщила о своих выводах разработчикам Red Hat и PackageKit 8 апреля, заявив с уверенностью, что все дистрибутивы, в которых PackageKit предустановлен и включен по умолчанию, уязвимы для CVE-2026-41651. Согласно уведомлению по безопасности, уязвимость присутствовала в версии PackageKit 1.0.2, выпущенной еще в ноябре 2014 года, и затрагивает все версии вплоть до 1.3.4. Проведенные исследователями тесты подтвердили, что злоумышленник может использовать CVE-2026-41651 в следующих дистрибутивах: Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta); Ubuntu Server 22.04 – 24.04 (LTS); Debian Desktop Trixie 13.4; RockyLinux Desktop 10.1; • Fedora 43 Desktop и Fedora 43 Server. Однако этот список не является исчерпывающим, и любой дистрибутив Linux с PackageKit, следует рассматривать как потенциально уязвимый для атак. Пользователям следует как можно скорее обновить PackageKit до версии 1.3.5 и убедиться, что любое другое ПО, использующее этот пакет в качестве зависимости, переведено в безопасную версию. Несмотря на то, что подробности о характере эксплуатации не разглашаются, исследователи отметили наличие явных признаков компрометации, поскольку эксплуатация приводит к ошибке утверждения в демоне PackageKit и его сбою. Даже если systemd восстановит работу демона, сбой будет виден в системных журналах.