Pack2TheRoot: Уязвимость в PackageKit открывала root-доступ 12 лет

27 апреля, 2026 by admin Linux, Security Tags: cve-2026-41651, linux-security, pack2theroot, packagekit, privilege-escalation, vulnerability

Pack2TheRoot: Критическая уязвимость в PackageKit оставалась незамеченной 12 лет

В системной службе PackageKit была обнаружена критическая уязвимость CVE-2026-41651 с оценкой 8.8 по шкале CVSS. Брешь, получившая кодовое название Pack2TheRoot, позволяла локальному пользователю повысить свои привилегии до уровня root, фактически предоставляя полный контроль над системой.

Масштаб и последствия

Уязвимость присутствовала в кодовом дереве с ноября 2014 года. В течение почти 12 лет под угрозой находились миллионы инсталляций популярных дистрибутивов, включая Ubuntu и Debian, Fedora, Rocky Linux и другие. Ошибка позволяла выполнять несанкционированное управление пакетами: злоумышленник мог устанавливать произвольное ПО или удалять критические системные компоненты.

Ирония ситуации заключается в том, что PackageKit часто включен по умолчанию для упрощения графического администрирования. Таким образом, компонент, призванный сделать Linux дружелюбнее к новичкам, более десятилетия служил потенциальной точкой входа для атак.

Решение проблемы

Разработчики уже выпустили исправленную версию PackageKit 1.3.5. Для защиты систем администраторам необходимо немедленно обновить пакеты. Этот инцидент в очередной раз напоминает: абсолютная безопасность системы «из коробки» — это миф, требующий регулярного мониторинга и своевременного патчинга.

Чтобы избежать подобных проблем в будущем, рекомендуется настроить автоматические обновления безопасности и регулярно проводить аудит прав доступа локальных пользователей.