SchwachstellenHackerangriffeDatenschutz

Pack2TheRoot: Kritische Linux-Lücke ermöglicht Root-Zugriff auf Millionen Systemen

Von CyberDeutsch Redaktion
Pack2TheRoot: Kritische Linux-Lücke ermöglicht Root-Zugriff auf Millionen Systemen
Zusammenfassung

Eine kritische Sicherheitslücke in PackageKit, der plattformübergreifenden Paketverwaltungsebene für Linux-Systeme, gefährdet Millionen von Computern weltweit. Die als CVE-2026-41651 registrierte Schwachstelle mit einem CVSS-Wert von 8,1 ermöglicht es unprivilegierten Nutzern, sich Root-Rechte zu verschaffen und beliebige Pakete mit höchsten Systemrechten zu installieren – ohne sich authentifizieren zu müssen. Das Sicherheitsforschungs-Team der Deutschen Telekom entdeckte den Fehler, eine sogenannte Race Condition bei den Transaktions-Flags, die bereits seit mindestens 14 Jahren in der Software schlummert. Besonders besorgniserregend ist die Tatsache, dass die Schwachstelle zuverlässig innerhalb von Sekunden ausgenutzt werden kann. Betroffen sind zahlreiche verbreitete Linux-Distributionen, darunter Ubuntu in verschiedenen Versionen, Debian, Fedora und Rocky Linux. Deutsche Nutzer, insbesondere solche mit Ubuntu LTS-Versionen und Unternehmen, die Debian oder RHEL verwenden, sollten dringend Updates einspielen. Die Sicherheitslücke unterstreicht die Bedeutung von zeitnahen Patch-Management-Prozessen und zeigt, wie lange kritische Schwachstellen unbemerkt in Kern-Systemkomponenten verweilen können.

Die neu entdeckte Schwachstelle mit dem Spitznamen “Pack2TheRoot” ist das Ergebnis einer gefährlichen Kombination aus drei Einzelproblemen im PackageKit-Framework, das auf den meisten Linux-Distributionen als zentrale Paketmanagement-Abstraktionsschicht fungiert.

Die technische Ursache liegt in einer sogenannten TOCTOU-Race-Condition (Time-of-Check Time-of-Use): Wenn unprivilegierte Nutzer Pakete installieren, werden die Transaktionsflags geschrieben, ohne zu prüfen, ob die Transaktion überhaupt autorisiert ist oder gerade läuft. Dies führt dazu, dass die Transaktion mit manipulierten Flags ausgeführt wird — und weil diese Flags erst beim Dispatch ausgelesen werden und nicht bei der Autorisierung, sieht das System die vom Angreifer manipulierten Flags.

Die Deutsche Telekom Red Team, die die Lücke entdeckt hat, warnt vor dem “leicht ausnutzbaren” Charakter der Schwachstelle. Dem NIST-Advisory zufolge können Angreifer damit nicht nur beliebige RPM-Pakete installieren, sondern auch deren Installationsskripte mit Root-Berechtigung ausführen — alles ohne Authentifizierung.

Affiziert sind mindestens PackageKit-Versionen 1.0.2 bis 1.3.4, doch das Sicherheitsteam vermutet, dass das Problem bereits seit 2010 in Version 0.8.1 existiert. Konkret bestätigt sind Beeinträchtigungen bei Ubuntu Desktop 24.04 und 26.04 (LTS), Ubuntu Server 22.04–24.04, Debian Trixie 13.4, RockyLinux 10.1, und Fedora 43 (Desktop und Server). Die Telekom warnt außerdem, dass praktisch alle Distributionen mit aktiviertem PackageKit vulnerabel sind — einschließlich Systemen mit dem Cockpit-Managementtool und Red Hat Enterprise Linux (RHEL).

Die gute Nachricht: Die Ausnutzung hinterlässt Spuren. Nach erfolgreicher Kompromittierung erleidet der PackageKit-Daemon einen Assertion-Fehler und stürzt ab. Systemd startet den Daemon zwar neu, aber der Crash wird in den Systemlogs sichtbar — ein starker Kompromittierungsindikator.

PackageKit-Version 1.3.5 behebt die Lücke. Patches sind bereits in aktuellen Debian-, Ubuntu- und Fedora-Updates enthalten. Für deutsche Unternehmen und Administratoren heißt dies: Sofortige Aktualisierung aller betroffenen Systeme ist erforderlich. Das BSI sollte zeitnah eine Warnung veröffentlichen.

Ähnliche Artikel