Pack2TheRootと呼ばれる新しい脆弱性は、PackageKitデーモンで悪用される可能性があり、ローカルのLinuxユーザーがシステムパッケージをインストールまたは削除し、ルート権限を取得することができます。
この脆弱性はCVE-2026-41651として識別され、10点満点中8.8という中程度の重要度評価を受けました。PackageKitデーモン(Linuxシステム全体のソフトウェアのインストール、更新、削除を管理するバックグラウンドサービス)に、ほぼ12年間存在していました。
今週初め、脆弱性に関する情報とこの問題に対処するPackageKitバージョン1.3.5が公開されました。しかし、パッチの伝播を可能にするための技術的詳細と概念実証エクスプロイトは公開されていません。
Deutsche Telekom Red Teamによる調査により、バグの原因はPackageKitがパッケージ管理リクエストを処理するために使用するメカニズムであることが判明しました。
具体的には、研究者たちは「pkcon install」のようなコマンドが、Fedoraシステム上の特定の条件下で認証を必要とせずに実行でき、システムパッケージをインストール可能であることを発見しました。
Claude Opus AIツールを使用して、彼らはこの動作の悪用の可能性をさらに探索し、CVE-2026-41651を発見しました。
影響と修正
Deutsche Telekom Red Teamは4月8日に彼らの知見をRed HatとPackageKitのメンテナーに報告しました。彼らは、PackageKitがプリインストールされており、すぐに有効になっているすべてのディストリビューションがCVE-2026-41651に対して脆弱性があると仮定するのは安全であると述べています。
この脆弱性は2014年11月にリリースされたPackageKitバージョン1.0.2に存在し、プロジェクトのセキュリティアドバイザリーによると、バージョン1.3.4まですべてのバージョンに影響を与えています。
研究者のテストにより、攻撃者が以下のLinuxディストリビューションでCVE-2026-41651脆弱性を悪用する可能性があることが確認されました:
- Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta)
- Ubuntu Server 22.04 – 24.04 (LTS)
- Debian Desktop Trixie 13.4
- RockyLinux Desktop 10.1
- Fedora 43 Desktop
- Fedora 43 Server
ただし、このリストはすべてではなく、PackageKitを使用しているすべてのLinuxディストリビューションは、攻撃に対して潜在的に脆弱であると見なされるべきです。
ユーザーはできるだけ早くPackageKitバージョン1.3.5にアップグレードし、パッケージを依存関係として使用している他のソフトウェアが安全なリリースに移動されていることを確認する必要があります。
ユーザーは以下のコマンドを使用して、脆弱なバージョンのPackageKitがインストールされているかどうか、およびデーモンが実行されているかどうかを確認できます:
dpkg -l | grep -i packagekit
rpm -qa | grep -i packagekit
ユーザーはsystemctl status packagekitまたはpkmonを実行して、PackageKitデーモンが利用可能で実行されているかどうかを確認できます。これは、パッチが適用されていない場合、システムがリスクにさらされる可能性があることを示しています。
悪用の状態の詳細は共有されていませんが、研究者たちは、悪用がPackageKitデーモンのアサーション失敗およびクラッシュにつながるため、侵害を示す強い兆候があると述べています。
systemdがデーモンを回復した場合でも、クラッシュはシステムログで観察できます。
Mythosが見つけたものの99%はまだパッチが適用されていない。
AIが4つのゼロデイを1つのエクスプロイトにチェーンし、レンダラーとOSサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が来ています。
Autonomous Validation Summit(5月12日および14日)では、自律的なコンテキストリッチ検証がどのように悪用可能なものを見つけ、コントロールが保持されることを証明し、修復ループを閉じるかを確認してください。
