Das Telekom-Security-Team hat kürzlich eine Sicherheitslücke in PackageKit entdeckt. Sie haben sie „Pack2TheRoot“ getauft. Die Lücke ermöglicht es Angreifern, Rechte im System auszuweiten. Mehrere Linux-Distributionen in ihrer Standardkonfiguration sind davon betroffen.

Die Telekom hat die Sicherheitslücke (CVE-2026-41651, CVSS 8.8, Risiko „high“) auf ihren Sicherheitsseiten gemeldet. Bei PackageKit handelt es sich um ein Abstraktions-Layer für D-Bus zum eigentlich sicheren Verwalten von Paketen für beliebige Distributionen und Architekturen.

In den Versionen 1.0.2 bis 1.3.4 ist PackageKit demnach betroffen. Die Entwickler haben mit der Version 1.3.5 oder neuer die Lücke geschlossen. Seit dem 22. April 2026 hält die Softwareverwaltung insbesondere der größeren Distributionen aktualisierte Pakete bereit. Die Telekom deutet einen Proof-of-Concept an, hat ihn aber zur Sicherheit noch nicht veröffentlicht. Daher sollten IT-Verantworliche möglichst zügig die aktualisierte Version von PackageKit installieren.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE