„Pack2TheRoot“: Sicherheitslücke betrifft mehrere Linux-Distributionen

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

„Pack2TheRoot“: So nennt das Telekom-Security-Team eine kürzlich entdeckte Sicherheitslücke in PackageKit, die Angreifern das Ausweiten ihrer Rechte im System ermöglicht. Betroffen sind mehrere Linux-Distributionen in ihrer Standardkonfiguration.

Das meldet die Telekom auf ihren Sicherheitsseiten. PackageKit ist ein Abstraktions-Layer für D-Bus zum eigentlich sicheren Verwalten von Paketen für beliebige Distributionen und Architekturen. Die Schwachstelle ermöglicht Angreifern mit geringen Rechten im System, Systempakete zu installieren oder zu entfernen – ohne dazu befugt zu sein. Dadurch können bösartige Akteure unter anderem root-Rechte erlangen oder das System auf andere Weise kompromittieren.

Die Sicherheitslücke beruht auf einem Time-of-Check-Time-of-Use-Fehler (TOCTOU), einer Race Condition für Transaktions-Flags, genauer den transaction->cached_transaction_flags. Drei Fehler im Code führen dazu, dass die Flags überschreibbar sind, und zwar zwischen dem Zeitpunkt der Autorisierung und der Ausführung (CVE-2026-41651, CVSS 8.8, Risiko „high“). Das Risiko ist somit nur ganz knapp nicht als kritisch einzusortieren.

Korrigierte Software

Betroffen ist PackageKit demnach in den Versionen 1.0.2 bis 1.3.4. Mit Stand 1.3.5 oder neuer haben die Entwickler die Sicherheitslücken gestopft. Die Softwareverwaltung insbesondere der größeren Distributionen hält seit dem 22. April 2026 aktualisierte Pakete bereit, die IT-Verantwortliche zeitnah anwenden sollten. Die Telekom deutet einen Proof-of-Concept an, veröffentlicht ihn zur Sicherheit aber (noch) nicht.

Die Telekom-IT-Forscher haben mit Unterstützung von Anthropics Claude Opus die Schwachstelle aufgespürt. Das ist ein weiterer Hinweis, dass Schwachstellensuche mit KI inzwischen ordentliche Ergebnisse liefert. Viele Projekte stellen aber aufgrund der zahlreichen KI-Meldungen die Prämienzahlung für Fehlerberichte ein. Auslöser für die Suche war ein ungewöhnliches Verhalten von „pkcon install“ auf einer Fedora-Workstation, das ein Systempaket ohne das Bereitstellen eines Passworts installieren konnte.

Betroffen sind mehrere Linux-Distributionen in ihrer Standardinstallation. Die Telekom listet Debian Desktop Trixie 13.4, Fedora 43 Desktop und Server, RockyLinux Desktop 10.1, Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS Beta) und schließlich Ubuntu Server 22.04 – 24.04 (LTS). Das sind zumindest die Distributionen, die die IT-Forscher explizit getestet haben. Es sei jedoch vernünftig anzunehmen, dass alle Distributionen verwundbar sind, die PackageKit ausliefern und es standardmäßig aktivieren.

(dmk)