クロスディストロパッケージ管理抽象化レイヤーPackageKitの簡単に悪用可能で深刻度の高い脆弱性により、権限のないユーザーがルート権限でパッケージをインストールできます。
CVE-2026-41651として追跡されており、CVSS スコアは8.1です。この欠陥はトランザクションフラグの TOCTOU(タイム・オブ・チェック・タイム・オブ・ユース)競合状態として説明されています。
Pack2TheRootと呼ばれるこのバグは3つの問題の組み合わせであり、呼び出し元が指定したフラグがトランザクションの認可がされているかどうか、またはトランザクションが実行中であるかどうかを確認せずに書き込まれています。
その結果、トランザクションは破損したフラグで実行され、フラグは認可時ではなくディスパッチ時に読まれるため、バックエンドは攻撃者のフラグを認識します。
権限のないユーザーはPack2TheRootを利用して、認証なしで任意のRPMパッケージをルートとしてインストールでき、スクリプトレットも含まれます。NIST勧告に記載されています。
このセキュリティ欠陥は、PackageKit バージョン 1.0.2~1.3.4 に影響することが確認されていますが、14年前にリリースされたバージョン 0.8.1 から存在していた可能性があります(1.0.2 はリリースから 12 年前)。
脆弱性を発見したドイツテレコムのレッドチームによると、影響を受けることが確認されたLinuxディストリビューションには、Ubuntu Desktop 18.04(サポート終了)、24.04.4(LTS)、26.04(LTSベータ版)、Ubuntu Server 22.04~24.04(LTS)、Debian Desktop Trixie 13.4、RockyLinux Desktop 10.1、Fedora 43 Desktop、Fedora 43 Server が含まれます。
「PackageKitが有効になっているすべてのディストリビューションが脆弱である可能性があるのは合理的です。PackageKitはCockpitプロジェクトのオプション依存関係であるため、Cockpitがインストールされている多くのサーバが脆弱である可能性があり、Red Hat Enterprise Linux(RHEL)も含まれます」とドイツテレコムは述べています。
同社は脆弱性に関する技術的詳細の共有を控えており、簡単に悪用可能であり、攻撃者に「ルートアクセスまたはその他の方法でシステムを侵害する」可能性があると述べています。
「脆弱性は数秒で確実に悪用可能ですが、侵害の強い指標として機能するトレースが残ります。悪用成功後、PackageKitデーモンはアサーション失敗によりクラッシュします。Systemdは次のD-Bus呼び出しでデーモンを復旧し、サービス拒否を防ぎますが、クラッシュはシステムログで観察できます」とドイツテレコムは述べています。
Pack2TheRootはPackageKit バージョン1.3.5で対処されました。これに対するパッチは、最近のDebian、Ubuntu、Fedora更新にも含まれています。
