“Pack2TheRoot”: É assim que a equipe de segurança da Telekom chama uma falha de segurança recentemente descoberta no PackageKit que permite que invasores expandam seus direitos no sistema. Algumas distribuições Linux são afetadas pela configuração padrão.
Leia mais depois do anúncio
A Telekom relata isso em sua página de segurança. PackageKit é uma camada de abstração para D-Bus gerenciar pacotes com segurança para qualquer distribuição e arquitetura. A vulnerabilidade permite que um invasor com poucos privilégios no sistema instale ou remova pacotes do sistema – sem autorização para fazê-lo. Isso permite que atores mal-intencionados, entre outras coisas, obtenham privilégios de root ou comprometam o sistema.
A vulnerabilidade é baseada no erro de verificação de tempo de uso (TOCTOU), uma condição de corrida para o sinalizador de transação, mais precisamente. transaction->cached_transaction_flags. Três bugs no código fazem com que os sinalizadores mudem entre a autorização e o tempo de execução (CVE-2026-41651, CVSS 8.8risco”superior“). Portanto, o risco só pode ser classificado como crítico.
Software reparado
As versões 1.0.2 a 1.3.4 do PackageKit são afetadas. Com a versão 1.3.5 ou posterior, os desenvolvedores instalaram uma brecha de segurança. A gestão de software, especialmente para distribuições maiores, tem um pacote de atualização disponível a partir de 22 de abril de 2026, que os gestores de TI devem utilizar o mais rápido possível. A Telekom sugeriu uma prova de conceito, mas (ainda) não a publicou, então é seguro.
Os pesquisadores da Telekom IT descobriram a vulnerabilidade com o apoio de Claude Opus Anthropic. Esta é outra indicação de que a detecção de vulnerabilidades com IA está atualmente produzindo bons resultados. No entanto, muitos projetos deixaram de pagar bônus por reportar erros devido ao grande número de relatórios de IA. A busca foi desencadeada pelo comportamento incomum de “instalar pkcon” nas estações de trabalho Fedora, que podem instalar pacotes do sistema sem fornecer uma senha.
Algumas distribuições Linux são afetadas pela instalação padrão. A Telekom apresenta Debian Desktop Trixie 13.4, Fedora 43 Desktop e Server, RockyLinux Desktop 10.1, Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS Beta) e finalmente Ubuntu Server 22.04 – 24.04 (LTS). Pelo menos esta é uma distribuição que os pesquisadores de TI testaram claramente. No entanto, é razoável supor que todas as distribuições que enviam o PackageKit e o habilitam por padrão são facilmente adulteradas.
Leia mais depois do anúncio
(dmk)
