Allvarlig Linux-sårbarhet ger root-åtkomst via PackageKit
Deutsche Telekoms Red Team har avslöjat en allvarlig sårbarhet i PackageKit, ett pakethanteringsverktyg som finns installerat som standard på de flesta Linux-distributioner. Sårbarheten, kallad Pack2TheRoot (CVE-2026-41651, CVSS 8.8), låter en vanlig användare utan särskilda behörigheter installera eller ta bort systempaket och på så sätt få full root-åtkomst, utan lösenord.
12 år av sårbara versioner
Alla PackageKit-versioner från 1.0.2 till 1.3.4 är drabbade, vilket spänner över 12 år av utgåvor. Sårbarheten har bekräftats på standardinstallationer av:
- Ubuntu Desktop 18.04, 24.04.4 LTS och 26.04 LTS Beta
- Ubuntu Server 22.04 och 24.04 LTS
- Debian Desktop Trixie 13.4
- Rocky Linux Desktop 10.1
- Fedora 43 Desktop och Server
Alla distributioner som levererar PackageKit aktiverat bör betraktas som potentiellt sårbara. Eftersom PackageKit även är ett valfritt beroende för serverhanteringsverktyget Cockpit kan företagsservrar med Red Hat Enterprise Linux (RHEL) också vara exponerade.
Så fungerar attacken
Forskarna upptäckte att kommandot "pkcon install" kunde installera systempaket på Fedora Workstation utan att fråga efter lösenord. En angripare med grundläggande lokal åtkomst kan kringgå auktoriseringskontrollerna helt och installera skadliga paket eller ta bort kritiska säkerhetskomponenter.
En fungerande proof-of-concept finns som uppnår root-kodexekvering på sekunder, men den släpps inte offentligt.
Hur kontrollerar du om du är sårbar?
PackageKit körs inte alltid som en synlig process utan kan aktiveras via D-Bus vid behov. Kontrollera med:
- Debian/Ubuntu: dpkg -l | grep -i packagekit
- RPM-baserade: rpm -qa | grep -i packagekit
- Daemonstatus: systemctl status packagekit
Attacken lämnar ett spår: PackageKit-daemonen kraschar med ett assertion failure som loggas av systemd. Övervaka loggar med journalctl för att upptäcka försök.
Åtgärder
Uppdatera PackageKit till en patchad version så snart din distribution släpper en fix. Tills dess kan du inaktivera PackageKit-tjänsten om den inte behövs, eller begränsa lokala användares åtkomst.