\u201ePack2TheRoot\u201c: So nennt das Telekom-Security-Team eine k\u00fcrzlich entdeckte Sicherheitsl\u00fccke in PackageKit, die Angreifern das Ausweiten ihrer Rechte im System erm\u00f6glicht. Betroffen sind mehrere Linux-Distributionen in ihrer Standardkonfiguration.<\/p>\n
Weiterlesen nach der Anzeige<\/p>\n
Das meldet die Telekom auf ihren Sicherheitsseiten<\/a>. PackageKit<\/a> ist ein Abstraktions-Layer f\u00fcr D-Bus zum eigentlich sicheren Verwalten von Paketen f\u00fcr beliebige Distributionen und Architekturen. Die Schwachstelle erm\u00f6glicht Angreifern mit geringen Rechten im System, Systempakete zu installieren oder zu entfernen \u2013 ohne dazu befugt zu sein. Dadurch k\u00f6nnen b\u00f6sartige Akteure unter anderem root-Rechte erlangen oder das System auf andere Weise kompromittieren. <\/p>\n Die Sicherheitsl\u00fccke beruht auf einem Time-of-Check-Time-of-Use-Fehler (TOCTOU), einer Race Condition f\u00fcr Transaktions-Flags, genauer den transaction->cached_transaction_flags. Drei Fehler im Code f\u00fchren dazu, dass die Flags \u00fcberschreibbar sind, und zwar zwischen dem Zeitpunkt der Autorisierung und der Ausf\u00fchrung (CVE-2026-41651<\/a>, CVSS 8.8, Risiko \u201ehigh\u201c). Das Risiko ist somit nur ganz knapp nicht als kritisch einzusortieren.<\/p>\n Korrigierte Software<\/p>\n Betroffen ist PackageKit demnach in den Versionen 1.0.2 bis 1.3.4. Mit Stand 1.3.5 oder neuer haben die Entwickler die Sicherheitsl\u00fccken gestopft. Die Softwareverwaltung insbesondere der gr\u00f6\u00dferen Distributionen h\u00e4lt seit dem 22. April 2026 aktualisierte Pakete bereit, die IT-Verantwortliche zeitnah anwenden sollten. Die Telekom deutet einen Proof-of-Concept an, ver\u00f6ffentlicht ihn zur Sicherheit aber (noch) nicht.<\/p>\n Die Telekom-IT-Forscher haben mit Unterst\u00fctzung von Anthropics Claude Opus die Schwachstelle aufgesp\u00fcrt. Das ist ein weiterer Hinweis, dass Schwachstellensuche mit KI inzwischen ordentliche Ergebnisse liefert. Viele Projekte stellen aber aufgrund der zahlreichen KI-Meldungen die Pr\u00e4mienzahlung f\u00fcr Fehlerberichte ein<\/a>. Ausl\u00f6ser f\u00fcr die Suche war ein ungew\u00f6hnliches Verhalten von \u201epkcon install\u201c auf einer Fedora-Workstation, das ein Systempaket ohne das Bereitstellen eines Passworts installieren konnte.<\/p>\n Betroffen sind mehrere Linux-Distributionen in ihrer Standardinstallation. Die Telekom listet Debian Desktop Trixie 13.4, Fedora 43 Desktop und Server, RockyLinux Desktop 10.1, Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS Beta) und schlie\u00dflich Ubuntu Server 22.04 \u2013 24.04 (LTS). Das sind zumindest die Distributionen, die die IT-Forscher explizit getestet haben. Es sei jedoch vern\u00fcnftig anzunehmen, dass alle Distributionen verwundbar sind, die PackageKit ausliefern und es standardm\u00e4\u00dfig aktivieren. <\/p>\n Weiterlesen nach der Anzeige<\/p>\n