Уязвимость в Linux-компоненте PackageKit позволяла получить root

Екатерина Быстрова 27 Апреля 2026 - 16:25

Домашние пользователи

...

В PackageKit обнаружили серьёзную уязвимость, из-за которой обычный пользователь Linux мог устанавливать пакеты с правами root без аутентификации. Проблема получила идентификатор CVE-2026-41651 и 8,1 балла по CVSS. Уязвимость назвали Pack2TheRoot.

Она связана с состоянием гонки (race condition) типа TOCTOU в обработке флагов транзакций. PackageKit мог проверять одни параметры, а выполнять операцию уже с другими, подменёнными атакующим.

В результате пользователь без высоких прав мог запустить установку произвольных RPM-пакетов от имени root. Это особенно опасно, поскольку вместе с пакетами могут выполняться скрипты установки, а значит, злоумышленник получает удобный путь к компрометации системы.

Проблему обнаружила Red Team компании Deutsche Telekom. По её данным, уязвимость подтверждена в PackageKit версий с 1.0.2 по 1.3.4, но, вероятно, существовала ещё с версии 0.8.1, выпущенной около 14 лет назад.

Среди затронутых систем исследователи называют Ubuntu Desktop и Server, Debian Desktop Trixie, RockyLinux Desktop, Fedora Desktop и Server. Также потенциально уязвимыми могут быть и серверы с установленным Cockpit, поскольку PackageKit является для него опциональной зависимостью. Это может касаться в том числе систем на базе Red Hat Enterprise Linux.

Технические детали исследователи пока раскрывать не стали: по их словам, уязвимость легко эксплуатируется и может за считаные секунды привести к получению root-доступа или другой форме компрометации системы.

При этом атака оставляет заметные следы. После успешной эксплуатации демон PackageKit падает из-за ошибки утверждения, а затем systemd перезапускает его при следующем обращении через D-Bus. Поэтому сбой можно увидеть в системных журналах.

Уязвимость исправили в PackageKit 1.3.5. Патчи также уже вошли в свежие обновления Debian, Ubuntu и Fedora.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 27 Апреля 2026 - 15:55

Уязвимости программ Домашние пользователи Корпорации Mozilla

В Firefox и Tor закрыли уязвимость отслеживания пользователей без cookies

Исследователи обнаружили уязвимость в Firefox, из-за которой сайты могли отслеживать пользователей даже в режиме приватного просмотра. Проблема, получившая идентификатор CVE-2026-6770, также затронула Tor Browser, поскольку он основан на Firefox.

Брешь связана с браузерным API IndexedDB, который используется для хранения структурированных данных на стороне пользователя.

Суть проблемы была в том, как Firefox обрабатывал имена баз данных IndexedDB. Браузер использовал внутренние UUID-сопоставления, а при запросе списка баз данных порядок их выдачи оставался одинаковым на разных сайтах в рамках одного запущенного процесса браузера.

Из-за этого разные сайты могли независимо видеть один и тот же порядок баз данных и связывать активность пользователя между доменами (без cookies и общего хранилища).

Такой отпечаток сохранялся после перезагрузки страниц и даже при запуске новых приватных сессий. Он исчезал только после полного перезапуска браузера.

Особенно неприятно, что проблема затрагивала не только приватный режим Firefox, но и функцию New Identity в Tor Browser. Она как раз предназначена для того, чтобы разрывать связь между сессиями: очищать историю, cookies и активные соединения. Однако уязвимость позволяла сайтам связывать сессии, которые должны быть изолированы друг от друга.

Mozilla устранила CVE-2026-6770 в Firefox 150. Компании присвоила дыре средний уровень риска и описала её как проблему в компоненте Storage: IndexedDB.

Tor Project также выпустил патч в Tor Browser 15.0.10, который вышел на прошлой неделе.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!