Eine neue Schwachstelle namens **Pack2TheRoot** könnte im **PackageKit**-Daemon ausgenutzt werden, um lokalen Linux-Benutzern die Installation oder Deinstallation von Systempaketen und den Erhalt von Root-Berechtigungen zu ermöglichen. Der Fehler ist als **CVE-2026-41651** identifiziert und erhielt eine hohe Schweregradbewertung von 8,8 von 10. Er besteht seit fast 12 Jahren im **PackageKit**-Daemon, einem Hintergrunddienst, der die Installation, Aktualisierung und Deinstallation von Software auf Linux-Systemen verwaltet. Anfang dieser Woche wurden einige Informationen über die Schwachstelle veröffentlicht, zusammen mit **PackageKit** Version 1.3.5, die das Problem behebt. Technische Details und ein Demo-Exploit wurden jedoch nicht offengelegt, um die Verbreitung der Patches zu ermöglichen. Eine Untersuchung des **Deutsche Telekom Red Team** deckte auf, dass die Ursache des Fehlers der Mechanismus ist, den **PackageKit** zur Verarbeitung von Paketmanagementanfragen verwendet. Insbesondere stellten die Forscher fest, dass Befehle wie `pkcon install` unter bestimmten Bedingungen auf einem Fedora-System ohne Authentifizierung ausgeführt werden konnten, was ihnen die Installation eines Systempakets ermöglichte. Mit dem KI-Tool **Claude Opus** untersuchten sie weiter das Potenzial zur Ausnutzung dieses Verhaltens und entdeckten **CVE-2026-41651**.  ### Auswirkungen und Behebungen Das **Red Team der Deutschen Telekom** meldete seine Ergebnisse am 8. April an **Red Hat** und die **PackageKit**-Maintainer. Sie geben an, dass man davon ausgehen kann, dass alle Distributionen, die **PackageKit** vorinstalliert und standardmäßig aktiviert haben, anfällig für **CVE-2026-41651** sind. Die Schwachstelle besteht in **PackageKit** Version 1.0.2, die im November 2014 veröffentlicht wurde, und betrifft laut dem Sicherheitsratgeber des Projekts alle Versionen bis 1.3.4. Die Tests der Forscher haben bestätigt, dass ein Angreifer die **CVE-2026-41651**-Schwachstelle in den folgenden Linux-Distributionen ausnutzen könnte: * Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta) * Ubuntu Server 22.04 – 24.04 (LTS) * Debian Desktop Trixie 13.4 * RockyLinux Desktop 10.1 * Fedora 43 Desktop * Fedora 43 Server Die Liste ist jedoch nicht erschöpfend, und jede Linux-Distribution, die **PackageKit** verwendet, sollte als potenziell anfällig für Angriffe betrachtet werden. Benutzer sollten so schnell wie möglich auf **PackageKit** Version 1.3.5 aktualisieren und sicherstellen, dass jede andere Software, die das Paket als Abhängigkeit verwendet, auf eine sichere Version migriert wurde. Benutzer können die folgenden Befehle verwenden, um zu überprüfen, ob sie eine anfällige Version von **PackageKit** installiert haben und ob der Daemon läuft: `dpkg -l | grep -i packagekit` `rpm -qa | grep -i packagekit` Benutzer können `systemctl status packagekit` oder `pkmon` ausführen, um zu überprüfen, ob der **PackageKit**-Daemon verfügbar und aktiv ist. Dies deutet darauf hin, dass das System bei Nichtbehebung des Problems gefährdet sein könnte. Obwohl keine Details über den Ausnutzungsstatus geteilt wurden, bemerkten die Forscher, dass es starke Anzeichen für eine Kompromittierung gibt, da die Ausnutzung zu einem Assertion-Fehler und Absturz des **PackageKit**-Daemons führt. Selbst wenn systemd den Daemon wiederherstellt, ist der Absturz in den Systemprotokollen sichtbar.