В Банке данных угроз безопасности информации (BDU) была зарегистрирована новая уязвимость, затрагивающая популярный пакетный менеджер PackageKit. Проблема получила идентификатор BDU:2026‑05781, а также номер CVE‑2026‑41651 в международной базе CVE. Уязвимость затрагивает все версии PackageKit до 1.3.5. Производитель уже подтвердил наличие дефекта и выпустил обновление, но, несмотря на это, риски для пользователей остаются высокими.
Детали уязвимости
Суть проблемы кроется в ошибке синхронизации при использовании общего ресурса. Речь идёт о классической «ситуации гонки», известной как Time‑of‑check Time‑of‑use (TOCTOU). Такая ошибка возникает, когда проверка состояния ресурса и последующее действие над ним не являются атомарными. То есть злоумышленник может изменить ресурс между моментом проверки и моментом использования. В случае с PackageKit это позволяет нарушителю получить полный несанкционированный доступ к операционной системе с правами root.
Оценка опасности по шкале CVSS v3.1 составила 8,8 балла, что соответствует высокому уровню угрозы. При этом по устаревшей версии CVSS 2.0 рейтинг оказался средним - 6,8. Такой разрыв объясняется более строгими критериями оценки в новой методологии. Вектор атаки локальный (AV:L), сложность эксплуатации низкая, а для атаки требуются минимальные привилегии пользователя. Однако самое неприятное - уязвимость затрагивает не только сам пакетный менеджер, но и может распространяться на всю систему через механизмы повышения привилегий. Согласно классификации CWE, это ошибка CWE‑367 - «Ситуация гонки в TOCTOU».
Эксплойт для данной уязвимости уже опубликован в открытом доступе. Это существенно повышает вероятность реальных атак. Нарушителю достаточно иметь локальный доступ к системе с ограниченными правами, после чего он может запустить вредоносную программу, которая использует «ситуацию гонки». В случае успеха злоумышленник получает полный контроль над устройством. PackageKit используется во многих дистрибутивах Linux, включая популярные рабочие станции и серверы. Следовательно, под ударом могут оказаться тысячи систем по всему миру.
Разработчики PackageKit из сообщества свободного программного обеспечения уже устранили дефект в версии 1.3.5 и выше. В официальном репозитории проекта на GitHub присутствуют коммиты, исправляющие проблему в файле pk‑transaction.c. Администраторам настоятельно рекомендуется как можно скорее обновить PackageKit до актуальной версии. Однако в связи со сложившейся геополитической обстановкой и введёнными санкциями против России установка обновлений из зарубежных источников может нести дополнительные риски.
Для организаций, которые не могут оперативно обновить PackageKit, можно предложить временные меры защиты. В первую очередь следует ограничить локальный доступ к системе для непривилегированных пользователей. Также помогает включение строгих политик Mandatory Access Control (MAC), например, в виде модуля SELinux или AppArmor. Однако эти меры не дают полной гарантии, так как уязвимость напрямую атакует механизмы ядра через пакетный менеджер.
Интересно, что в базе данных CWE ошибка TOCTOU отнесена к классу уязвимости кода. Это значит, что проблема коренится не в архитектуре, а в конкретной реализации логики синхронизации. Подобные ошибки часто встречаются в сложных многопоточных приложениях, и PackageKit не стал исключением. Разработчики уже учли этот опыт: в новом патче добавлены дополнительные проверки и уведомления об ошибках.
Параллельно с выходом патча независимые исследователи опубликовали детали уязвимости и proof‑of‑concept код на GitHub. Поэтому внимание к этой проблеме должно быть повышенным. Атакующий может быстро адаптировать публичный эксплойт под свои цели. Вредоносная нагрузка (payload), которая будет запущена после получения root, может быть любым - от установки бэкдора до кражи данных.
Итак, пользователям Linux важно помнить: локальные уязвимости с высоким рейтингом CVSS не менее опасны, чем удалённые. PackageKit - ключевой компонент многих дистрибутивов, и его скомпрометированная версия ставит под угрозу всю систему. Обновление до версии 1.3.5 или новее - единственный надёжный способ устранить угрозу. При этом стоит следить за официальными рекомендациями и источниками обновлений.
Специалисты по кибербезопасности также рекомендуют использовать системы обнаружения вторжений (IDS) и мониторинга целостности файлов, чтобы своевременно выявлять попытки эксплуатации подобных багов. Однако главный совет остаётся прежним: не откладывайте установку патчей. В мире открытого ПО уязвимости исправляются быстро, но ответственность за применение обновлений лежит на администраторах. В данном случае производитель уже сделал свою работу - теперь очередь за пользователями.
Ссылки
- https://bdu.fstec.ru/vul/2026-05781
- https://www.cve.org/CVERecord?id=CVE-2026-41651
- https://github.com/PackageKit/PackageKit/blob/04057883189efa225a7c785591aa87cb299782f8/src/pk-transaction.c#L2273-L2277
- https://github.com/PackageKit/PackageKit/blob/04057883189efa225a7c785591aa87cb299782f8/src/pk-transaction.c#L4036
- https://github.com/PackageKit/PackageKit/blob/04057883189efa225a7c785591aa87cb299782f8/src/pk-transaction.c#L873-L882
- https://github.com/Vozec/CVE-2026-41651
- https://github.com/PackageKit/PackageKit/security/advisories/GHSA-f55j-vvr9-69xv
