BEDROHUNG
Eine fast zwölf Jahre alte Schwachstelle im Linux-Paketmanager PackageKit ermöglicht es lokalen, nicht privilegierten Nutzern, sich Root-Rechte zu verschaffen. Die als CVE-2026-41651 geführte Lücke erhielt einen CVSS-Score von 8,8.
PackageKit fungiert als distributionsübergreifende Abstraktionsschicht für die Installation, Aktualisierung und Entfernung von Softwarepaketen und ist auf vielen Desktop- und Server-Systemen vorinstalliert. Nach Angaben des Red Teams der Deutschen Telekom können Angreifer unter bestimmten Bedingungen über pkcon install Pakete auf einem Fedora-System installieren, ohne sich authentifizieren zu müssen. Gelingt der Angriff, lassen sich Systempakete beliebig installieren oder entfernen – was zur vollständigen Kompromittierung eines Systems führen kann.
Die Lücke ließ sich unter anderem auf Ubuntu Desktop und Server, Debian Trixie sowie Fedora ausnutzen. Da PackageKit auch über Komponenten wie Cockpit eingebunden sein kann, sollten Sicherheitsteams nicht nur klassische Desktop-Systeme, sondern auch Server prüfen. Ein Patch steht bereit.
Ob PackageKit installiert ist, lässt sich etwa über dpkg -l | grep -i packagekit oder pkmon ermitteln. Hinweise auf Angriffsversuche können in den Systemlogs auftauchen: Die Exploitation kann laut Telekom zum Absturz des PackageKit-Daemons führen.
Was jetzt zu tun ist:
- betroffene Systeme umgehend patchen
- prüfen, ob PackageKit installiert ist – auch auf Servern mit Cockpit-Integration
Systemlogs auf PackageKit-Abstürze und verdächtige Paketinstallationen untersuchen
PRÄVENTION & DETEKTION
Angesichts der Linux-Lücke ist die Kombination aus Endpoint Protection und SIEM‑Monitoring ein zentraler Bestandteil der Sicherheitsstrategie. Sie schützt vor akuten Angriffen, erkennt Kompromittierungen frühzeitig und unterstützt eine schnelle und kontrollierte Reaktion auf Sicherheitsvorfälle. Im ConSecur Cyber Defense Center erkennen wir Sicherheitsereignisse in Netzstrukturen - zügig und 24/7.
Autor: Michael Niers
