„Pack2TheRoot“: Telekom-Team findet kritische Lücke in PackageKit

KI-Zusammenfassung

Das Sicherheitsteam der Telekom hat die als "Pack2TheRoot" bezeichnete Schwachstelle in PackageKit aufgedeckt, die in mehreren Linux-Distributionen in der Standardkonfiguration Rechteausweitung ermöglicht. PackageKit, ein Abstraktions-Layer für das paketbasierte Softwaremanagement, enthält einen Time-of-Check-Time-of-Use-Fehler (TOCTOU) in den Transaktions-Flags. Angreifer mit geringen Systemrechten können dadurch unautorisiert Systempakete installieren oder entfernen und so root-Rechte erlangen (CVE-2026-41651, CVSS 8.8). Betroffen sind die Versionen 1.0.2 bis 1.3.4; die korrigierte Version 1.3.5 liegt vor. Die Forscher nutzten bei der Analyse Anthopics KI-Modell Claude Opus.