Kritisk sårbarhet i flertal Linux-distributioners PackageKit
Deutsche Telekom (DTCERT) har publicerat information om en ny sårbarhet som påverkar flera brett använda Linux-distributioner. [1] Sårbarheten CVE-2026-41651 (Pack2TheRoot), har fått en CVSSv3.1- klassning på 8.8. [2] Ett framgångsrikt utnyttjande av sårbarheten möjliggör för en oprivilegierad användare att installera eller ta bort systempaket utan behörighet. Sårbarheten kan även utnyttjas för att få fullständig root-åtkomst eller för att kompromettera systemet på andra sätt.
Påverkade produkter
PackageKit versioner 1.0.2 till 1.3.4.
Sårbarheten har testats och bekräftats på följande distributioner i standardinstallation:
- Ubuntu Desktop 18.04, 24.04.4 (LTS), 26.04 (LTS beta)
- Ubuntu Server 22.04 till 24.04
- Debian Desktop Trixie 13.4
- RockyLinux Desktop 10.1
- Fedora 43 Desktop
- Fedora 43 Server
Rekommendationer
CERT-SE rekommenderar att så snart som möjligt uppdatera sårbara installationer. Sårbarheten är åtgärdad i PackageKit version 1.3.5. [3] Uppdateringar är tillgängliga från och med 2026-04-22 för ett flertal Linux-distributioner.
Källor
[1] https://github.security.telekom.com/2026/04/pack2theroot-linux-local-privilege-escalation.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2026-41651
[3] https://www.openwall.com/lists/oss-security/2026/04/22/6