Pack2TheRootは脆弱性につけられた名称です。
この脆弱性は影響範囲が広いという点とその内容との両方の意味で、危険なものとなっています。
CVE番号でいうと、CVE-2026-41651です。
- Pack2TheRootの影響範囲
この脆弱性はPackageKitデーモンに関するものです。
PackageKitは、特定のディストリビューション専用ではなく、主にfreedesktop.orgが提供するデスクトップ環境向け(GNOME SoftwareやKDE Discoverなど)の共通パッケージ管理インターフェースです。
そのため、PackageKitは、RPMベース、Debベースを問わず、モダンなデスクトップ環境を採用している多くのLinuxディストリビューションで使用されています。 - Pack2TheRootの内容
この脆弱性を悪用することで、ローカルのroot権限のないLinuxユーザがシステムパッケージをインストールまたは削除し、root権限を取得できる可能性があります。
別途アクセス権を得る必要があるとはいえ、権限昇格の脆弱性は重大度が高い問題です。
CVSSベーススコアは、8.8となっています。
この脆弱性は、PackageKitのバージョンでいうと、1.0.2以降で1.3.5未満が対象となっています。
1.0.2のリリースは実に12年前です。
複数のLinuxディストリビューションのかなり長い期間のバージョンが対象となっているということになります。
まずは手元のシステムにPackageKitがあるかを把握しましょう。
そして存在する場合には、速やかに更新を完了しましょう。
この例のように、まだ見つかっていない脆弱性はたくさんあると考えられます。
せめて既知となった脆弱性については、速やかに対応を完了させる運用を維持したいものです。
Pack2TheRoot (CVE-2026-41651): Cross-Distro Local Privilege Escalation Vulnerability
https://github.security.telekom.com/2026/04/pack2theroot-linux-local-privilege-escalation.html
| この記事をシェア |
|
|---|
