Pack2TheRoot: una brutta vulnerabilità di PackageKit che riguarda diverse distribuzioni Linux

Raoul Scarazzini

C’è una nuova vulnerabilità in molte distribuzioni Linux che è stata battezzata Pack2TheRoot di cui è bene essere al corrente e fare i dovuti controlli sui propri sistemi.

È stata associata alla CVE-2026-41651 e riguarda la componente di sistema PackageKit, che consente agli utenti locali Linux (quindi non privilegiati) di installare o rimuovere pacchetti. La gravità di questa anomalia è 8.8 su 10, quindi sicuramente pericolosa e, come molte situazioni simili che abbiamo visto nel tempo, si annidava da anni all’interno del demone PackageKit.

A scoprire e descrivere nel dettaglio come la vulnerabilità può essere utilizzata è stato il Red Team di Deutsche Telekom, il quale ha fornito tutti i dettagli del caso sia per capire come agisce l’anomalia, sia come fare a capire se si hanno pacchetti affetti.

Ma andiamo con ordine. La scoperta è partita nel 2025, quando il team in questione ha cercato di esplorare come il comando pkcon install potesse essere sfruttato per installare un pacchetto (inizialmente in Fedora) senza richiedere la password. Grazie all’impiego di Claude Opus i ricercatori sono riusciti a creare un exploit sfruttabile in tutte le versioni di PackageKit comprese tra la 1.0.2 (rilasciata la bellezza di 12 anni fa!) e la 1.3.4, andando a creare una lista (non esaustiva) delle distribuzioni affette:

  • Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta)
  • Ubuntu Server 22.04 – 24.04 (LTS)
  • Debian Desktop Trixie 13.4
  • RockyLinux Desktop 10.1
  • Fedora 43 Desktop
  • Fedora 43 Server

Se quindi utilizzate queste distribuzioni e avete una delle versioni di PackageKit sopra riportate (lo potete scoprire con dpkg -l | grep -i packagekit o con rpm -qa | grep -i packagekit), potreste esser stati compromessi.

Un modo per scoprirlo è utilizzare journalctl, in questo modo:

# journalctl --no-pager -u packagekit | grep -i emitted_finished
Apr 18 09:56:36 Rocky10 packagekitd[2082]: PackageKit:ERROR:../src/pk-transaction.c:514:pk_transaction_finished_emit: assertion failed: (!transaction->priv->emitted_finished)
Apr 18 09:56:36 Rocky10 packagekitd[2082]: Bail out! PackageKit:ERROR:../src/pk-transaction.c:514:pk_transaction_finished_emit: assertion failed: (!transaction->priv->emitted_finished)

L’articolo originale contiene anche una Proof Of Concept che dimostra come sfruttare la vulnerabilità che, fortunatamente per tutti, è già stata risolta nella maggioranza delle distribuzioni.

Non è necessario aggiungere nient’altro a parte il consueto: aggiornate, aggiornate, aggiornate!

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

, , ,

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
KPA
Kubelab
Articoli
Saturday’s Talks
The Security Corner

Categories

Articoli (68) Notizie (3405) Saturday's Talks (56) The Security Corner (8)

Tag cloud

ai (97) AlmaLinux (36) Android (36) Bug (83) Canonical (94) CentOS (49) Cloud (64) container (53) Controversia (51) Debian (112) desktop (36) docker (66) Fedora (65) Firefox (40) GitHub (81) Gnome (36) Google (90) IBM (57) Intel (58) KDE (43) Kernel (285) Kubernetes (103) Linux (825) LTS (37) Malware (70) Microsoft (200) MicrosoftLovesLinux (37) Mozilla (41) open-source (474) Openstack (58) Oracle (37) Patch (37) Red Hat (180) Release (71) RHEL (44) Rust (45) SaturdaysTalks (54) Sicurezza (136) Software (43) SUSE (44) systemd (83) Torvalds (102) Ubuntu (194) Vulnerabilità (72) Windows (90)