В D‑Bus слоя PackageKit, която отговаря за управлението на пакети в различни Linux дистрибуции, е открита критична уязвимост Pack2TheRoot (CVE‑2026‑41651). Тя позволява на непривилегирован потребител да инсталира или премахва произволни пакети и в крайна сметка да получи root‑достъп. Проблемът засяга всички версии на PackageKit от 1.0.2 (2014 г.) насам и е отстранен едва в изданието 1.3.5.
Уязвимостта е идентифицирана от изследователи на Deutsche Telekom с помощта на AI модела Claude Opus. Съществува работещ експлоит, който функционира в повечето дистрибуции, използващи PackageKit, но детайлите ще бъдат публикувани по-късно, за да се даде време за обновяване. Експлоатацията е демонстрирана в Ubuntu Desktop 18.04/24.04.4/26.04, Ubuntu Server 22.04–24.04, Debian Desktop 13.4, Rocky Linux Desktop 10.1, както и Fedora 43 Desktop/Server.
Страниците със статус на поправките за Debian, Ubuntu, Arch Linux, SUSE, Fedora, RHEL, Gentoo и FreeBSD показват кои дистрибуции вече работят по проблема.
Какво стои зад уязвимостта
Pack2TheRoot произтича от race condition при обработката на флаговете на транзакциите във фоновия процес на PackageKit. Между успешната авторизация и реалното стартиране на операцията има кратък прозорец, в който атакуващият може да подмени параметрите на транзакцията.
Механизмът е следният: първо се изпраща легитимен D‑Bus заявка за операция, която непривилегираният потребител има право да изпълни. Веднага след това се изпраща втори D‑Bus заявка. Ако тя пристигне преди реалното стартиране на операцията, тя може да промени кешираното състояние и флаговете на вече започнатата транзакция.
В резултат операцията се изпълнява не с първоначалните параметри, а с подменените. Така вместо разрешен пакет може да бъде инсталиран произволен друг пакет, включително локално подготвен от атакуващия. Тъй като инсталацията се извършва с root права, добавянето на произволен код в пакета позволява изпълнението му с пълни привилегии.
Какво да направят потребителите и администраторите
Най-важната стъпка е незабавно обновяване до PackageKit 1.3.5 или до версия, в която дистрибуцията е приложила backport на поправката. Дистрибуциите вече публикуват статуси на корекциите, но някои все още не са започнали работа по проблема.
Докато обновленията се разпространяват, администраторите трябва да ограничат локалния достъп, да следят за необичайни D‑Bus заявки и да прилагат политики за минимални привилегии. Уязвимостта е особено опасна, защото не изисква специални права и може да бъде използвана в широк набор от системи.
 в PackageKit позволява ескалация до root чрез подмяна на параметри в транзакции; проблемът е поправен в версия 1.3.5 и изисква спешно обновяване.){kind=link}