{"id":16466,"date":"2026-04-27T09:09:46","date_gmt":"2026-04-27T09:09:46","guid":{"rendered":"https:\/\/byte-bucket.com\/2026\/04\/27\/telekom-entdeckt-kritische-sicherheitsluecke-in-packagekit-pack2theroot-gefaehrdet-linux-systeme\/"},"modified":"2026-04-27T09:09:46","modified_gmt":"2026-04-27T09:09:46","slug":"telekom-entdeckt-kritische-sicherheitsluecke-in-packagekit-pack2theroot-gefaehrdet-linux-systeme","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=16466","title":{"rendered":"Telekom entdeckt kritische Sicherheitsl\u00fccke in PackageKit: Pack2TheRoot gef\u00e4hrdet Linux-Systeme"},"content":{"rendered":"<p>Die Telekom hat k\u00fcrzlich eine Sicherheitsl\u00fccke in PackageKit entdeckt, die sie Pack2TheRoot nennt. Diese Schwachstelle erm\u00f6glicht es Angreifern mit geringen Rechten im System, Systempakete zu installieren oder zu entfernen, ohne daf\u00fcr autorisiert zu sein. Dadurch k\u00f6nnen sie unter anderem root-Rechte erlangen und das gesamte System kompromittieren. Die Grundlage f\u00fcr diese Gefahr bildet ein Time-of-Check-Time-of-Use-Fehler (TOCTOU), genauer gesagt eine Race Condition bei den Transaktionsflags in PackageKit. Drei Fehler im Code machen die Flags zwischen Autorisierung und Ausf\u00fchrung \u00fcberschreibbar. Diese Schwachstelle, CVE-2026-41651, mit einer CVSS-Bewertung von 8.8, gilt als hochriskant und ist nur knapp nicht als kritisch einzustufen. Betroffene Versionen von PackageKit sind 1.0.2 bis 1.3.4. Mit Version 1.3.5 oder neuer wurden die L\u00fccken geschlossen. Die Softwareverwaltung der meisten Linux-Distributionen h\u00e4lt seit dem 22. April 2026 aktualisierte Pakete bereit, die umgehend von IT-Verantwortlichen installiert werden sollten. <\/p>\n<p>Die Telekom selbst demonstriert das Problem mit einem Proof-of-Concept, der ungew\u00f6hnliches Verhalten des Befehls pkcon install auf einer Fedora-Workstation zeigt, bei dem ein Systempaket ohne Passwort installiert wurde. Die explizit getesteten Distributionen sind Debian Desktop Trixie 13.4, Fedora 43 Desktop und Server, RockyLinux Desktop 10.1, Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS Beta) und Ubuntu Server 22.04 \u2013 24.04 (LTS). Aufgrund der Funktionsweise von PackageKit erwarten Experten jedoch, dass alle Distributionen, die es standardm\u00e4\u00dfig aktivieren, anf\u00e4llig sind. <\/p>\n<p>Besonders interessant an dieser Entdeckung ist die Rolle der KI. Die Suche nach Pack2TheRoot wurde durch ungew\u00f6hnliches Verhalten bei pkcon install auf einer Fedora-Workstation initiiert und mithilfe von KI-gest\u00fctzten Analysen deutlich beschleunigt. Dies verdeutlicht das wachsende Potenzial von KI in der Sicherheitsforschung, w\u00e4hrend gleichzeitig viele Projekte aufgrund der zahlreichen KI-Meldungen Pr\u00e4mienzahlungen f\u00fcr Fehlerberichte einstellen.<\/p>\n<p>Schlagw\u00f6rter: PackageKit + Telekom + Ubuntu<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Telekom hat k\u00fcrzlich eine Sicherheitsl\u00fccke in PackageKit entdeckt, die sie Pack2TheRoot nennt. Diese Schwachstelle erm\u00f6glicht es Angreifern mit geringen Rechten im System, Systempakete zu installieren oder zu entfernen, ohne daf\u00fcr autorisiert zu sein. Dadurch k\u00f6nnen sie unter anderem root-Rechte erlangen und das gesamte System kompromittieren. Die Grundlage f\u00fcr diese&#46;&#46;&#46;<\/p>\n","protected":false},"author":4,"featured_media":16465,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-16466","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/16466","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=16466"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/16466\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/16465"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=16466"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=16466"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=16466"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}