**Pack2TheRoot** と呼ばれる新たな脆弱性が、**PackageKit** デーモンで悪用される可能性があり、ローカルLinuxユーザーがシステムパッケージをインストールまたは削除し、root権限を取得できるようになります。 この脆弱性は **CVE-2026-41651** として特定され、10点満点中8.8という高深刻度評価を受けています。これは、Linuxシステム全体でソフトウェアのインストール、アップデート、削除を管理するバックグラウンドサービスである **PackageKit** デーモンに、約12年間存在していました。 今週初めに、この脆弱性に関する情報が公開され、問題に対処した **PackageKit** バージョン1.3.5もリリースされました。しかし、パッチの普及を可能にするために、技術的な詳細やデモエクスプロイトは開示されていません。 **Deutsche Telekom Red Team** による調査により、このバグの原因は **PackageKit** がパッケージ管理リクエストを処理する方法にあることが明らかになりました。 具体的には、研究者たちは、Fedoraシステムのある条件下で `pkcon install` のようなコマンドが認証を必要とせずに実行できることを発見し、システムパッケージのインストールを可能にしました。 **Claude Opus** AIツールを使用して、彼らはこの動作を悪用する可能性をさらに探求し、**CVE-2026-41651** を発見しました。  ### 影響と修正 **Deutsche Telekom's Red Team** は4月8日に **Red Hat** および **PackageKit** のメンテナーに調査結果を報告しました。彼らは、**PackageKit** がプリインストールされ、デフォルトで有効になっているすべてのディストリビューションが **CVE-2026-41651** に対して脆弱であると仮定するのが安全であると述べています。 この脆弱性は、2014年11月にリリースされた **PackageKit** バージョン1.0.2に存在し、プロジェクトのセキュリティアドバイザリによると、バージョン1.3.4までのすべてのバージョンに影響します。 研究者のテストにより、攻撃者が以下のLinuxディストリビューションで **CVE-2026-41651** 脆弱性を悪用できることが確認されています。 * Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta) * Ubuntu Server 22.04 – 24.04 (LTS) * Debian Desktop Trixie 13.4 * RockyLinux Desktop 10.1 * Fedora 43 Desktop * Fedora 43 Server ただし、このリストは網羅的なものではなく、**PackageKit** を使用しているLinuxディストリビューションはすべて、攻撃に対して潜在的に脆弱であると見なされるべきです。 ユーザーは、できるだけ早く **PackageKit** バージョン1.3.5にアップグレードし、パッケージを依存関係として使用している他のソフトウェアが安全なリリースに移行していることを確認する必要があります。 ユーザーは以下のコマンドを使用して、脆弱なバージョンの **PackageKit** がインストールされているか、デーモンが実行されているかを確認できます。 `dpkg -l | grep -i packagekit` `rpm -qa | grep -i packagekit` ユーザーは `systemctl status packagekit` または `pkmon` を実行して、**PackageKit** デーモンが利用可能で実行中であるかを確認できます。これは、パッチが適用されていない場合、システムがリスクにさらされている可能性を示しています。 悪用状況に関する詳細は共有されていませんが、研究者たちは、悪用によって **PackageKit** デーモンがアサーションエラーを起こしてクラッシュするという、侵害の強力な兆候があることを指摘しました。 たとえ systemd がデーモンを回復させたとしても、クラッシュはシステムログで確認できます。