Eine schwerwiegende Schwachstelle in PackageKit, die in mehreren Linux-Distributionen vorhanden ist, ermöglicht es einem lokalen Benutzer ohne Root-Rechte, Pakete als Root zu installieren und so die vollständige Systemkontrolle zu erlangen.

PackageKit fungiert als Abstraktionsschicht für die Paketverwaltung in Linux. Anstatt dass jede Anwendung direkt mit apt, dnf, rpm oder anderen Paketmanagern kommunizieren muss, bietet PackageKit eine einheitliche Schnittstelle, die insbesondere von grafischen Softwareinstallations- und Aktualisierungstools genutzt wird. 

Die Linux-Community hat nach der Veröffentlichung von Pack2TheRoot, einer Schwachstelle in PackageKit, einer Komponente, die von mehreren Distributionen zur Verwaltung von Softwarepaketen auf verschiedenen Systemen verwendet wird, eine neue Sicherheitswarnung erhalten.

Wichtig ist, dass diese Schwachstelle allein nicht die Fernsteuerung eines mit dem Internet verbundenen Linux-Rechners ermöglicht. Der Angreifer benötigt zunächst lokalen Zugriff auf das System. 

Dennoch können die Folgen gravierend sein: Vom normalen Benutzer zum vollständigen Systemadministrator.

Die Schwachstelle betrifft eine sogenannte Race Condition namens TOCTOU (Time-of-Check to Time-of-Use). Vereinfacht gesagt: Das System prüft eine Operation zu einem bestimmten Zeitpunkt, doch bevor sie ausgeführt wird, ändert sich der interne Zustand.

Die National Vulnerability Database (NVD) beschreibt CVE-2026-41651 als Race Condition in den Transaktionsflags von PackageKit. Der Fehler ermöglicht es Benutzern ohne Root-Rechte, Pakete als Root zu installieren und so ihre lokalen Berechtigungen zu erweitern. 

Die Schwachstelle betrifft PackageKit-Versionen 1.0.2 bis 1.3.4 und wurde in Version 1.3.5 behoben.

INCIBE-CERT hat ebenfalls eine Sicherheitswarnung zu dieser Schwachstelle veröffentlicht, sie als hochkritisch eingestuft und empfiehlt, PackageKit auf Version 1.3.5 oder höher zu aktualisieren. 

In der Warnung listet INCIBE betroffene Ressourcen mit PackageKit-Versionen 0.8.1 bis 1.3.4 auf. 

Die Deutsche Telekom warnt davor, dass die einfache Prüfung, ob der Prozess läuft, nicht ausreicht, da PackageKit bei Bedarf über D-Bus aktiviert werden kann. 

Daher empfehlen sie, die Installation des Pakets zu überprüfen und die Version mit dem betroffenen Versionsbereich abzugleichen.

Die gute Nachricht: Es gibt bereits Lösungen. Die schlechte Nachricht: PackageKit ist auf vielen Systemen installiert und wird von Administratoren möglicherweise nicht immer beachtet.

 Die sofortige Reaktion sollte daher sein, die installierte Version zu überprüfen, offizielle Updates zu installieren und Mehrbenutzersysteme zu priorisieren.