Une nouvelle vulnérabilité nommée Pack2TheRoot a été découverte dans le service PackageKit, susceptible de permettre à des utilisateurs locaux de Linux d’installer ou de supprimer des paquets système, tout en acquérant des permissions root.
Classée sous le code CVE-2026-41651, cette faille a reçu une note de sévérité moyenne de 8.8 sur 10. Elle reste présente depuis près de 12 ans dans le daemon PackageKit, un service essentiel gérant les installations, mises à jour et suppressions de logiciels sur les systèmes Linux.
Cette semaine, des informations concernant cette vulnérabilité ont été publiées, accompagnées de la version 1.3.5 de PackageKit, censée corriger le problème. Cependant, les détails techniques et une démonstration d’exploitation n’ont pas été divulgués pour permettre une mise à jour efficace.
Une enquête menée par le Deutsche Telekom Red Team a révélé que l’origine de ce bug est liée au mécanisme de traitement des requêtes de gestion des paquets par PackageKit. Les chercheurs ont constaté que des commandes telles que ‘pkcon install’ pouvaient être exécutées sans authentification sur certaines conditions dans un système Fedora, permettant ainsi l’installation de paquets système.
Source : Deutsche Telekom
Impact et solutions
Les résultats de l’enquête du Red Team ont été communiqués aux responsables de Red Hat et de PackageKit le 8 avril. Ils estiment que toutes les distributions Linux utilisant PackageKit par défaut sont susceptibles d’être affectées par CVE-2026-41651.
La vulnérabilité est présente dans la version 1.0.2 de PackageKit, publiée en novembre 2014, et affecte toutes les versions jusqu’à 1.3.4, selon le communiqué de sécurité du projet.
Les tests menés par les chercheurs ont confirmé que l’exploit de la vulnérabilité CVE-2026-41651 était possible sur plusieurs distributions Linux, notamment :
- Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta)
- Ubuntu Server 22.04 – 24.04 (LTS)
- Debian Desktop Trixie 13.4
- RockyLinux Desktop 10.1
- Fedora 43 Desktop
- Fedora 43 Server
Cette liste n’est pas exhaustive, et toute distribution Linux utilisant PackageKit doit être considérée comme potentiellement vulnérable.
Les utilisateurs sont conseillés de mettre à jour vers la version 1.3.5 de PackageKit au plus vite, et de s’assurer que d’autres logiciels dépendant de cette librairie sont également à jour.
Pour vérifier la présence d’une version vulnérable de PackageKit et l’état du daemon, les utilisateurs peuvent utiliser les commandes suivantes :
dpkg -l | grep -i packagekit
rpm -qa | grep -i packagekit
Pour confirmer si le daemon PackageKit est actif, les commandes systemctl status packagekit ou pkmon peuvent être exécutées, ce qui indiquerait que le système est à risque s’il n’est pas mis à jour.
Bien que des détails sur l’état d’exploitation n’aient pas été dévoilés, les chercheurs signalent des signes forts de compromission, car l’exploitation entraîne un échec d’assertion et le plantage du daemon PackageKit.
Même si systemd parvient à redémarrer le daemon, ce plantage reste observable dans les journaux système.