Уязвимость в Linux-компоненте PackageKit позволяла получить root

Екатерина Быстрова 27 Апреля 2026 - 16:25

Домашние пользователи

...

В PackageKit обнаружили серьёзную уязвимость, из-за которой обычный пользователь Linux мог устанавливать пакеты с правами root без аутентификации. Проблема получила идентификатор CVE-2026-41651 и 8,1 балла по CVSS. Уязвимость назвали Pack2TheRoot.

Она связана с состоянием гонки (race condition) типа TOCTOU в обработке флагов транзакций. PackageKit мог проверять одни параметры, а выполнять операцию уже с другими, подменёнными атакующим.

В результате пользователь без высоких прав мог запустить установку произвольных RPM-пакетов от имени root. Это особенно опасно, поскольку вместе с пакетами могут выполняться скрипты установки, а значит, злоумышленник получает удобный путь к компрометации системы.

Проблему обнаружила Red Team компании Deutsche Telekom. По её данным, уязвимость подтверждена в PackageKit версий с 1.0.2 по 1.3.4, но, вероятно, существовала ещё с версии 0.8.1, выпущенной около 14 лет назад.

Среди затронутых систем исследователи называют Ubuntu Desktop и Server, Debian Desktop Trixie, RockyLinux Desktop, Fedora Desktop и Server. Также потенциально уязвимыми могут быть и серверы с установленным Cockpit, поскольку PackageKit является для него опциональной зависимостью. Это может касаться в том числе систем на базе Red Hat Enterprise Linux.

Технические детали исследователи пока раскрывать не стали: по их словам, уязвимость легко эксплуатируется и может за считаные секунды привести к получению root-доступа или другой форме компрометации системы.

При этом атака оставляет заметные следы. После успешной эксплуатации демон PackageKit падает из-за ошибки утверждения, а затем systemd перезапускает его при следующем обращении через D-Bus. Поэтому сбой можно увидеть в системных журналах.

Уязвимость исправили в PackageKit 1.3.5. Патчи также уже вошли в свежие обновления Debian, Ubuntu и Fedora.

Следующая главная новость »

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Июня 2026 - 19:53

Мошенничество GenAI (генеративный искусственный интеллект)Дипфейк (Deepfake)Онлайн-мошенничество Домашние пользователи

Мошенники используют нейросети для обмана хозяев потерявшихся животных

Если питомец пропал, стоит быть особенно осторожным. Аферисты освоили новую схему: они создают с помощью искусственного интеллекта изображения якобы найденных животных, а затем требуют деньги за их возвращение.

О новой уловке рассказал РИАМО руководитель Волонтёрского корпуса Богородского городского округа Максим Зотов.

Владельцу пропавшего питомца присылают фотографию, очень похожую на его животное, и уверяют, что готовы вернуть его. Но перед встречей просят перевести вознаграждение. После получения денег мошенники просто исчезают.

Главное оружие злоумышленников — давление на эмоции. Они убеждают, что времени почти нет, требуют принять решение немедленно и перевести деньги прямо сейчас.

Есть и другие тревожные признаки. Сгенерированные ИИ изображения нередко содержат странные детали или артефакты. Кроме того, аферисты часто используют недавно созданные телеграм-каналы или поддельные страницы приютов и волонтёрских организаций, чтобы выглядеть убедительнее.

Ещё один характерный сигнал — отказ от личной встречи. Вместо того чтобы договориться о передаче животного, мошенники настаивают исключительно на онлайн-переводе денег.

Если вам прислали фотографию якобы найденного питомца, специалисты советуют не торопиться с оплатой. Лучше попросить сделать снимок с другого ракурса, уточнить приметы животного или задать вопросы, на которые сможет ответить только человек, действительно нашедший питомца.

Нейросети всё чаще становятся инструментом социальной инженерии. И пока ИИ помогает создавать всё более правдоподобные изображения, мошенники продолжают играть на самом сильном чувстве — желании как можно быстрее вернуть домой любимого питомца.

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!