Уязвимость в PackageKit, позволяющая получить права root в разных дистрибутивах Linux

24.04.2026 10:30 (MSK)

В PackageKit, D-Bus-прослойке, унифицирующей операции управления пакетами, выявлена уязвимость Pack2TheRoot (CVE-2026-41651), позволяющая непривилегированному пользователю установить или удалить произвольный пакет и получить root-доступ к системе. Проблема проявляется начиная с версии 1.0.2 (2014 год) и устранена в выпуске PackageKit 1.3.5.

Проблему выявили исследователи из компании Deutsche Telekom пр помощи AI-модели Claude Opus. Подготовлен рабочий эксплоит, действующий в большинстве дистрибутивов с PackageKit, но его и детальную информацию об уязвимости планируют опубликовать позднее, чтобы дать пользователям время обновить свои системы. Возможность эксплуатации уязвимости продемонстрирована в Ubuntu Desktop 18.04/24.04.4/26.04, Ubuntu Server 22.04 - 24.04, Debian Desktop 13.4, RockyLinux Desktop 10.1 и Fedora 43 Desktop/Server. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch, Fedora, FreeBSD.

Уязвимость вызвана состоянием гонки при обработке флагов транзакций в фоновом процессе PackageKit, позволяющем подменить параметры операции в момент между прохождением авторизации и до запуска операции с пакетом. Атакующий может отправить D-Bus-запрос для выполнения операции, допустимой для непривилегированного пользователя, после чего следом отправить повторный D-Bus-запрос. Если повторный запрос придёт до фактического начала выполнения разрешённой операции, можно добиться переопределения флагов уже начатой транзакции и изменения прокэшированного состояния.

Таким образом, уже начатая разрешённая транзакция будет выполнена с не исходными параметрами, а с подменёнными параметрами, переданными во втором запросе. Подменив информацию об устанавливаемом пакете можно вместо разрешённого пакета установить любой другой пакет, в том числе локально сохранённый атакующим. Установка пакета выполняется с правами root, поэтому для получения root-доступа в системе атакующий может добавить в пакет собственный scriptlet, автоматически запускаемый перед или после установки.

исправить +2 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65277-packagekit

Ключевые слова: packagekit

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (14)

1.1, мяа (?), 11:38, 24/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
будет как с уязвимостью в полките, к.ю что б эксплуатировать не нужны только рут-права ?

1.2, Анонимище (?), 11:39, 24/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
"Тысяча глаз" из потенции стала суровой реальностью. "Да кому мой проект нужен?" уже не прокатит

2.5, Аноним (5), 11:51, 24/04/2026 [^] [^^] [^^^] [ответить]	+/–
Самое смешное что никто даже не посмотрит что за автор разместил вредоносный коммит, что за мейнтейнер его одобрил. И даже не потому что кто-то считает это специально добавленным трояном, а потому что нужно проверить все коммиты автора на предмет этих случайных """ошибок""" и если они повторяются автора нужно выгнать из проекта и выдать волчий билет, чтобы он никогда не смог работать программистом. Без этого эту систему никогда, ни в каком виде, никакой Раст не спасёт.

3.13, Аноним (13), 12:44, 24/04/2026 [^] [^^] [^^^] [ответить]	+/–
> нужно выгнать из проекта и выдать волчий билет Там внезапно может оказаться, что весь проект такой...

1.3, Аноним (5), 11:40, 24/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Случайность. Жиа Тан не виноват.

1.4, Аноним (4), 11:49, 24/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Дебиан - пофикшено. Убунту - рассматривается. Типичненько. На заметку всем интересующимся соседней новостью про убунту 26.04. И так будет еще ажно 5 лет для всех, и еще 5 или 10 для платных подписчиков. Торопитесь!

1.6, sig11 (ok), 12:05, 24/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
apt purge packagekit и стало лучше во всех отношениях...

2.9, Аноним (9), 12:23, 24/04/2026 [^] [^^] [^^^] [ответить]	+/–
Ответ Gemini: Такие программы, как «Центр приложений» (GNOME Software) или Plasma Discover, могут перестать работать корректно или потеряют возможность устанавливать/обновлять софт, так как они зависят от PackageKit для выполнения этих задач. ... Сама утилита apt продолжит работать в терминале, так как она не зависит от PackageKit. Удаление PackageKit безопасно, если вы предпочитаете управлять пакетами через командную строку.

3.12, Аноним (9), 12:27, 24/04/2026 [^] [^^] [^^^] [ответить]	+/–
Предположение от Анонима (9): если пользоваться только терминалом для установки/обновления программ и отключить автоматическое обновление (например, в Runtu отключено по умолчанию), то наличие сабжа на компьютере не представляет опасности.

1.7, Аноним (7), 12:18, 24/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Объясните, зачем это вообще нужно "D-Bus-прослойка, унифицирующая операции управления пакетами".

1.8, Аноним (8), 12:23, 24/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Опять? Ну запихнуть туда жабаскрипт было можно было только с далеко идущими планами.

2.11, Аноним (8), 12:24, 24/04/2026 [^] [^^] [^^^] [ответить]	+/–
А, я перепутал с policykit. Что такое сабж вообще без понятия.

1.14, Смузихлеб забывший пароль (?), 12:46, 24/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
там что, никаких ИД и прочего у операций нет, что запросто можно подобную ситуацию учинить и систему совсем не смутит, что параметры одной операции "накатили" на совсем другую, причём, с совсем другими правами ?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: