„Pack2TheRoot“: So nennt das Telekom-Security-Team eine kürzlich entdeckte Sicherheitslücke in PackageKit, die Angreifern das Ausweiten ihrer Rechte im System ermöglicht. Betroffen sind mehrere Linux-Distributionen in ihrer Standardkonfiguration.

Das meldet die Telekom auf ihren Sicherheitsseiten. PackageKit ist ein Abstraktions-Layer für D-Bus zum eigentlich sicheren Verwalten von Paketen für beliebige Distributionen und Architekturen. Die Schwachstelle ermöglicht Angreifern mit geringen Rechten im System, Systempakete zu installieren oder zu entfernen – ohne dazu befugt zu sein. Dadurch können bösartige Akteure unter anderem root-Rechte erlangen oder das System auf andere Weise kompromittieren.

Die Sicherheitslücke beruht auf einem Time-of-Check-Time-of-Use-Fehler (TOCTOU), einer Race Condition für Transaktions-Flags, genauer den transaction->cached_transaction_flags. Drei Fehler im Code führen dazu, dass die Flags überschreibbar sind, und zwar zwischen dem Zeitpunkt der Autorisierung und der Ausführung (CVE-2026-41651, CVSS 8.8, Risiko „high“). Das Risiko ist somit nur ganz knapp nicht als kritisch einzusortieren.

Korrigierte Software

Betroffen ist PackageKit demnach in den Versionen 1.0.2 bis 1.3.4. Mit Stand 1.3.5 oder neuer haben die Entwickler die Sicherheitslücken gestopft. Die Softwareverwaltung insbesondere der größeren Distributionen hält seit dem 22. April 2026 aktualisierte Pakete bereit, die IT-Verantwortliche zeitnah anwenden sollten. Die Telekom deutet einen Proof-of-Concept an, veröffentlicht ihn zur Sicherheit aber (noch) nicht.

Die Telekom-IT-Forscher haben mit Unterstützung von Anthropics Claude Opus die Schwachstelle aufgespürt. Das ist ein weiterer Hinweis, dass Schwachstellensuche mit KI inzwischen ordentliche Ergebnisse liefert. Viele Projekte stellen aber aufgrund der zahlreichen KI-Meldungen die Prämienzahlung für Fehlerberichte ein. Auslöser für die Suche war ein ungewöhnliches Verhalten von „pkcon install“ auf einer Fedora-Workstation, das ein Systempaket ohne das Bereitstellen eines Passworts installieren konnte.

Betroffen sind mehrere Linux-Distributionen in ihrer Standardinstallation. Die Telekom listet Debian Desktop Trixie 13.4, Fedora 43 Desktop und Server, RockyLinux Desktop 10.1, Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS Beta) und schließlich Ubuntu Server 22.04 – 24.04 (LTS). Das sind zumindest die Distributionen, die die IT-Forscher explizit getestet haben. Es sei jedoch vernünftig anzunehmen, dass alle Distributionen verwundbar sind, die PackageKit ausliefern und es standardmäßig aktivieren.

(dmk)

Angreifer können an mehrere Sicherheitslücken in VMware Tanzu Spring Boot ansetzen und Instanzen im schlimmsten Fall vollständig kompromittieren. Sicherheitsupdates sind verfügbar. Derzeit gibt es seitens des Softwareherstellers keine Berichte, dass Angreifer die Lücken bereits ausnutzen.

Unbefugte Zugriffe möglich

Die Entwickler versichern, die Sicherheitsprobleme in den Ausgaben 3.5.14 und 4.0.6 gelöst zu haben. Sie weisen zusätzlich darauf hin, dass auch nicht mehr im Support befindliche Versionen verwundbar sind. An dieser Stelle müssen Admins auf eine noch untersützte Version upgraden.

Insgesamt wurden neun Schwachstellen geschlossen. Wie aus einer Warnmeldung hervorgeht, ist eine (CVE-2026-40976) mit dem Bedrohungsgrad „kritisch“ eingestuft. Weil die Authentifizierung nicht verlässlich funktioniert, können Angreifer auf alle Endpoints zugreifen.

Damit eine solche Attacke klappt, müssen aber mehrere in der Warnmeldung aufgelisteten Voraussetzungen erfüllt sein. So muss es sich etwa um eine Servlet-basierte Web-Anwendung handeln. Wie ein derartiger Angriff im Detail ablaufen könnte, ist bislang unklar.

Weitere Gefahren

Ferner können Angreifer noch unter anderem aus der Ferne Schadcode ausführen (CVE-2026-40972 „hoch“) oder Instanzen dazu bringen, sich mit bösartigen Hosts zu verbinden (CVE-2026-40974 „mittel“).

Weitere Informationen zu den geschlossenen Softwareschwachstellen und bedrohten Versionen finden Admins in den verlinkten Warnmeldungen. Liste nach Bedrohungsgrad absteigend sortiert:

Zuletzt haben die Entwickler mehrere Sicherheitslücken in VMware Tanzu Spring Security geschlossen.

(des)

Die US-amerikanische IT-Sicherheitsbehörde CISA hat Angriffe auf SimpleHelp, Samsung MagicINFO und D-Link DIR-823X beobachtet. Die angegriffenen Sicherheitslücken sind teils ein wenig älter.

In der Warnung der CISA listet die Behörde die Schwachstelleneinträge auf. Am gravierendsten scheinen zunächst die aktuell laufenden Angriffe auf Lücken im Fernwartungstool SimpleHelp RMM. Eine davon erlaubt Angreifern mit niedrigen Rechten, API-Schlüssel mit weitreichenden Rechten zu erstellen und so die Server-Admin-Rolle zu erlangen (CVE-2024-57726, CVSS 9.9, Risiko „kritisch“). Die andere ermöglicht das Hochladen von manipulierten ZIP-Dateien, die Dateien an beliebige Stellen des Dateisystems verfrachten und so das Ausführen eigenen Codes mit den Rechten des SimpleHelp-Servers erlaubt (CVE-2024-57728, CVSS 7.2, Risiko „hoch“). Version 5.5.8 oder neuere korrigieren die Probleme. Die Sicherheitslücken wurden jedoch bereits im Januar 2025 angegriffen. Offenbar haben einige Admins die verfügbaren Aktualisierungen immer noch nicht angewendet.

Samsung MagicINFO 9 Server ist eine Digital-Signage-Plattform zur Steuerung von Displays in Unternehmen und öffentlichen Einrichtungen. Aufgrund einer Schwachstelle können Angreifer beliebige Dateien auf das System schreiben, mit System-Rechten. Das erlaubt offenbar das Ausführen von eingeschleustem Code. Die Lücke CVE-2024-7399 (CVSS 9.8, Risiko „kritisch“) ist bereits etwas älter, Samsung hat sie mit einem Update im August 2024 bedacht. Das Aktivieren des automatischen Updates über „Menü“ – „Support“ – „Software-Update“ sollte die Aktualisierung finden und auf das Gerät befördern.

Botnetz auf EOL-Router

Auf die D-Link-Router DIR-823X haben es bösartige Akteure ebenfalls abgesehen. Darin können Angreifer aus dem Netz nach einer Anmeldung beliebige Befehle ausführen (CVE-2025-29635, CVSS 7.2, Risiko „hoch“). Der Support für diese Router ist jedoch am 15. November 2024 bereits ausgelaufen. Wer solch ein veraltetes Gerät noch in der IT-Umgebung hat, sollte es schleunigst durch ein Gerät ersetzen, das vom Hersteller mit Sicherheitsupdates versorgt wird. Der Cloud- und Sicherheitsanbieter Akamai hat vergangene Woche über Angriffe auf D-Link-Router durch das Mirai-Botnetz berichtet, das sich auf diesen veralteten Geräten ausbreitet. Das Unternehmen stellt Snort- und Yara-Regeln bereit, mit denen sich bekannte Angriffe und Malware erkennen lassen.

Zu den anderen aktuellen Angriffen sind keine weiteren Informationen etwa zu Art, Umfang oder Indizien für erfolgreiche Angriffe (Indicators of Compromise, IOC) bekannt. IT-Verantwortliche sollten die bereitstehenden Aktualisierungen aber zügig anwenden.

(dmk)