SchwachstellenHackerangriffe

Pack2TheRoot: Kritische Linux-Schwachstelle ermöglicht Root-Zugriff über PackageKit

Pack2TheRoot: Kritische Linux-Schwachstelle ermöglicht Root-Zugriff über PackageKit
Zusammenfassung

Die kürzlich entdeckte Sicherheitslücke „Pack2TheRoot" (CVE-2026-41651) stellt eine erhebliche Bedrohung für Linux-Systeme weltweit dar. Die Schwachstelle befindet sich im PackageKit-Daemon, einem zentralen Systemdienst, der für die Verwaltung von Softwareinstallationen, Updates und Deinstallationen auf Linux-Rechnern zuständig ist. Mit einem kritischen Severity-Score von 8,8 von 10 ermöglicht die Lücke lokalen Angreifern, Systempakete zu installieren oder zu entfernen und Root-Zugriff auf dem betroffenen System zu erlangen. Besonders alarmierend ist, dass diese Schwachstelle bereits seit fast zwölf Jahren – seit der Veröffentlichung von PackageKit Version 1.0.2 im November 2014 – in dem System schlummert und alle Versionen bis 1.3.4 betrifft. Die Deutsche Telekom Red Team hat die Vulnerability Anfang April entdeckt und den Maintainern gemeldet. Betroffen sind alle Linux-Distributionen, bei denen PackageKit standardmäßig installiert und aktiviert ist. Für deutsche Nutzer, Unternehmen und Behörden bedeutet dies ein kritisches Update-Erfordernis, da viele produktive Systeme anfällig sind. Ein sofortiges Upgrade auf PackageKit Version 1.3.5 wird dringend empfohlen.

Die Sicherheitslücke Pack2TheRoot stellt eine erhebliche Bedrohung für die Linux-Sicherheitslandschaft dar. Entdeckt wurde sie von Forschern der Deutschen Telekom Red Team, die das Problem im PackageKit daemon aufspürten — einem Hintergrund-Service, der auf Linux-Systemen für Softwareinstallation, Updates und Entfernung von Paketen zuständig ist.

Der Kern des Problems liegt in der Art und Weise, wie PackageKit Paketmanagement-Anfragen verarbeitet. Unter bestimmten Bedingungen können Befehle wie ‘pkcon install’ ausgeführt werden, ohne dass eine Authentifizierung erforderlich ist. Bei Tests auf einem Fedora-System gelang es den Forschern, Systempakete ohne Authentifizierung zu installieren. Mit Unterstützung des KI-Tools Claude Opus erkundeten die Sicherheitsexperten das Exploitations-Potenzial weiter und identifizierten CVE-2026-41651 als exploitbar.

Besonders problematisch: Die Schwachstelle existiert bereits seit November 2014 in PackageKit Version 1.0.2 und betrifft alle Versionen bis einschließlich 1.3.4. Das bedeutet zwölf Jahre ungeschützte Systeme in Unternehmen und Privatanwendungen. Die Deutsche Telekom meldete ihre Erkenntnisse am 8. April an die verantwortlichen Maintainer.

PackageKit Version 1.3.5 behebt die Sicherheitslücke. Allerdings betont das Sicherheitsteam bewusst: Technische Details und Exploit-Demonstrationen werden noch nicht veröffentlicht, um Systemen Zeit zum Patchen zu geben.

Systemadministratoren sollten sofort überprüfen, ob ihre Systeme betroffen sind. Mit den Befehlen ‘dpkg -l | grep -i packagekit’ oder ‘rpm -qa | grep -i packagekit’ lässt sich die installierte Version identifizieren. Um zu kontrollieren, ob der PackageKit-Daemon aktiv läuft, helfen ‘systemctl status packagekit’ oder ‘pkmon’ weiter.

Zwar gibt es keine Hinweise auf bereits erfolgte Angriffe in freier Wildbahn, allerdings beobachteten Forscher charakteristische Spuren bei erfolgreichem Exploit: Der PackageKit daemon stürzt ab und schreibt Fehlermeldungen in die System-Logs, wodurch eine Kompromittierung theoretisch nachverfolgbar ist.

Deutsche Unternehmen sollten ihre Linux-Infrastruktur unverzüglich überprüfen und alle PackageKit-Abhängigkeiten auf sichere Versionen aktualisieren.

Ähnliche Artikel