Fast 12 Jahre unentdeckt: Telekom deckt gefährliche Root-Lücke in Linux auf

Das Red Team der Deutschen Telekom hat eine gefährliche Sicherheitslücke aufgedeckt, die zahlreiche Linux-Systeme in der jeweiligen Standardkonfiguration betrifft. Wie die Entdecker in einem Bericht(öffnet im neuen Fenster) schildern, können sich Angreifer durch Ausnutzung der Pack2TheRoot genannten Lücke Root-Zugriff verschaffen. Betroffen sind mehrere weitverbreitete Linux-Distributionen wie Ubuntu, Debian und Fedora.

Die genannte Sicherheitslücke ist als CVE-2026-41651(öffnet im neuen Fenster) registriert und erreicht mit einem CVSS-Wert von 8,8 einen hohen Schweregrad. Ursache ist laut Schwachstellenbeschreibung eine TOCTOU-Race-Condition(öffnet im neuen Fenster) (Time-of-check Time-of-use) im Packagekit(öffnet im neuen Fenster)-Daemon. Letzterer stellt eine Abstraktionsschicht für die Paketverwaltung bereit.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Karrieretag Familienunternehmen 2026: Jetzt bewerben und durchstarten

zum Ratgeber

Seminar: Linux-Systemadministration Grundlagen: virtueller Fünf-Tage-Workshop

zum Kurs

E-Learning: Strategisches Marketing erlernen - Einsteigerkurs für Selbstständige (E-Learning)

zum Kurs

Für eine erfolgreiche Ausnutzung wird vorab nur ein lokaler Zugriff mit einfachen Benutzerrechten benötigt. Ist diese Voraussetzung erfüllt, kann ein Angreifer durch Pack2TheRoot Systempakete installieren oder entfernen. "Dies kann ausgenutzt werden, um vollständigen Root-Zugriff zu erlangen oder das System auf andere Weise zu kompromittieren", schreiben die Forscher von der Telekom.

Einsatz von Anthropics Claude Opus

Die Telekom fand die Sicherheitslücke nach eigenen Angaben durch den Einsatz von KI. Die Forscher griffen dafür ebenso wie schon andere Kollegen zuvor auf Claude Opus von Anthropic zurück. Anschließend überprüften sie den Fund manuell und meldeten die Lücke an die Maintainer von Packagekit.

Betroffen sind die Packagekit-Versionen 1.0.2 bis einschließlich 1.3.4 – und damit alle Versionen, die seit dem 10. November 2014 veröffentlicht wurden. Die Lücke war also schon fast 12 Jahre vorhanden, blieb aber bis April 2026 unentdeckt. Seit dem 22. April 2026(öffnet im neuen Fenster) steht Packagekit in der Version 1.3.5 zur Verfügung, welche CVE-2026-41651 schließt.

Zahlreiche Linux-Systeme betroffen

Auch die Anzahl der betroffenen Linux-Systeme ist entsprechend groß. Die Telekom-Forscher haben die Ausnutzbarkeit bei verschiedenen Versionen von Ubuntu(öffnet im neuen Fenster), Debian(öffnet im neuen Fenster), Fedora und dem auf Ret Hat Enterprise Linux (RHEL) basierenden Rocky Linux erfolgreich getestet. Sie gehen aber davon aus, dass noch weitere Linux-Systeme, auf denen Packagekit zum Einsatz kommt, anfällig sind.

Im Bericht der Telekom(öffnet im neuen Fenster) sind ein paar Hinweise darauf zu finden, wie sich die Anfälligkeit eines Systems sowie eine möglicherweise bereits erfolgte Ausnutzung feststellen lassen. Weitere technische Details zur Lücke sowie ihren funktionierenden Exploit-Code wollen die Forscher jedoch aus Sicherheitsgründen vorerst noch unter Verschluss halten.

• Anzeige Hier geht es zu Künstliche Intelligenz: Wissensverarbeitung bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.