FEHLER!

Telekom entdeckt kritische Sicherheitslücke in PackageKit: Pack2TheRoot gefährdet Linux-Systeme

Die Telekom hat kürzlich eine Sicherheitslücke in PackageKit entdeckt, die sie Pack2TheRoot nennt. Diese Schwachstelle ermöglicht es Angreifern mit geringen Rechten im System, Systempakete zu installieren oder zu entfernen, ohne dafür autorisiert zu sein. Dadurch können sie unter anderem root-Rechte erlangen und das gesamte System kompromittieren. Die Grundlage für diese Gefahr bildet ein Time-of-Check-Time-of-Use-Fehler (TOCTOU), genauer gesagt eine Race Condition bei den Transaktionsflags in PackageKit. Drei Fehler im Code machen die Flags zwischen Autorisierung und Ausführung überschreibbar. Diese Schwachstelle, CVE-2026-41651, mit einer CVSS-Bewertung von 8.8, gilt als hochriskant und ist nur knapp nicht als kritisch einzustufen. Betroffene Versionen von PackageKit sind 1.0.2 bis 1.3.4. Mit Version 1.3.5 oder neuer wurden die Lücken geschlossen. Die Softwareverwaltung der meisten Linux-Distributionen hält seit dem 22. April 2026 aktualisierte Pakete bereit, die umgehend von IT-Verantwortlichen installiert werden sollten.

Die Telekom selbst demonstriert das Problem mit einem Proof-of-Concept, der ungewöhnliches Verhalten des Befehls pkcon install auf einer Fedora-Workstation zeigt, bei dem ein Systempaket ohne Passwort installiert wurde. Die explizit getesteten Distributionen sind Debian Desktop Trixie 13.4, Fedora 43 Desktop und Server, RockyLinux Desktop 10.1, Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS Beta) und Ubuntu Server 22.04 – 24.04 (LTS). Aufgrund der Funktionsweise von PackageKit erwarten Experten jedoch, dass alle Distributionen, die es standardmäßig aktivieren, anfällig sind.

Besonders interessant an dieser Entdeckung ist die Rolle der KI. Die Suche nach Pack2TheRoot wurde durch ungewöhnliches Verhalten bei pkcon install auf einer Fedora-Workstation initiiert und mithilfe von KI-gestützten Analysen deutlich beschleunigt. Dies verdeutlicht das wachsende Potenzial von KI in der Sicherheitsforschung, während gleichzeitig viele Projekte aufgrund der zahlreichen KI-Meldungen Prämienzahlungen für Fehlerberichte einstellen.

Schlagwörter: PackageKit + Telekom + Ubuntu

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 27. April 2026