Was ist passiert?
Die Schwachstelle "Pack2TheRoot" (CVE-2026-41651) steckt im PackageKit-Systemdienst, der auf vielen Linux-Desktops und Workstations die Installation von Software verwaltet. Es handelt sich um eine klassische TOCTOU-Lücke (Time-of-Check Time-of-Use).Ein lokaler Nutzer kann eine Transaktion zur Softwareinstallation starten und durch präzises Timing die Validierungsparameter ändern, nachdem das System die Berechtigung geprüft, aber bevor es die Installation ausgeführt hat. Dadurch lassen sich manipulierte Pakete oder Skripte mit vollen Systemrechten ausführen.
Wen betrifft es?
- ▸Workstations: Mitarbeiter-Laptops mit Fedora, Debian, Ubuntu oder openSUSE, die grafische Software-Center nutzen.
- ▸Entwickler-Umgebungen: Systeme, auf denen häufig Softwarepakete nachinstalliert werden.
- ▸Veraltete Systeme: Da die Lücke bis zu 12 Jahre zurückreicht, sind auch ältere, oft vergessene Wartungssysteme in KMU-Netzwerken betroffen.
Was ist zu tun?
- 1.PackageKit aktualisieren: Stelle sicher, dass packagekit auf Version 1.3.5 oder höher aktualisiert wird.
- 2.Workaround (falls kein Patch verfügbar): Deaktiviere den Dienst temporär mit dem Befehl: systemctl mask packagekit. Dies verhindert, dass der Dienst gestartet werden kann.
- 3.Endpoint Security: Überwache die Installation neuer Pakete über die System-Logs (/var/log/auth.log oder journalctl), um unautorisierte Installationsversuche zu identifizieren.
- 4.Prinzip der minimalen Rechte: Überprüfe, ob Nutzer auf Workstations tatsächlich lokale Accounts mit Zugriff auf PackageKit-Schnittstellen benötigen.
Diese Advisories dienen der Information. Für eine detaillierte Analyse Ihrer Linux-Härtungsstrategie kontaktieren Sie uns.