forum.opennet.ru - "Уязвимость в PackageKit, позволяющая получить права root в разных дистрибутивах Linux " (17)

"Уязвимость в PackageKit, позволяющая получить права root в разных дистрибутивах Linux "

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в PackageKit, позволяющая получить права root в разных дистрибутивах Linux "	+/–
Сообщение от opennews (?), 24-Апр-26, 11:38
В PackageKit, D-Bus-прослойке, унифицирующей операции управления пакетами, выявлена уязвимость Pack2TheRoot (CVE-2026-41651), позволяющая непривилегированному пользователю установить или удалить произвольный пакет и получить root-доступ к системе. Проблема проявляется начиная с версии 1.0.2 (2014 год) и устранена в выпуске PackageKit 1.3.5... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65277
Ответить \| Правка \| Cообщить модератору

Оглавление

будет как с уязвимостью в полките, к ю что б эксплуатировать не нужны только рут, мяа (?), 11:38 , 24-Апр-26, (1) –1
Тысяча глаз из потенции стала суровой реальностью Да кому мой проект нужен , Анонимище (?), 11:39 , 24-Апр-26, (2) –1

Самое смешное что никто даже не посмотрит что за автор разместил вредоносный ком, Аноним (5), 11:51 , 24-Апр-26, (5) +4

Там внезапно может оказаться, что весь проект такой , Аноним (13), 12:44 , 24-Апр-26, (13) +1
Ну ок, автор добавил 10000 строк, 100 из них проблемные и 10 приводят к выполнен, Аноним (16), 12:56 , 24-Апр-26, (16)

Случайность Жиа Тан не виноват , Аноним (5), 11:40 , 24-Апр-26, (3) +1
Дебиан - пофикшено Убунту - рассматривается Типичненько На заметку всем интер, Аноним (4), 11:49 , 24-Апр-26, (4) –1
apt purge packagekitи стало лучше во всех отношениях , sig11 (ok), 12:05 , 24-Апр-26, (6) +1

Ответ Gemini Такие программы, как 171 Центр приложений 187 GNOME Software , Аноним (9), 12:23 , 24-Апр-26, (9)

Предположение от Анонима 9 если пользоваться только терминалом для установки , Аноним (9), 12:27 , 24-Апр-26, (12)

Объясните, зачем это вообще нужно D-Bus-прослойка, унифицирующая операции управ, Аноним (7), 12:18 , 24-Апр-26, (7) +1

В 2007 году планировалось, что разработчики программ смогут подтягивать зависимо, Аноним (17), 12:57 , 24-Апр-26, (17)
Потому что управление в системе через ж у, глобальная блокировка и всех в пень,, Аноним (16), 13:07 , 24-Апр-26, (18)

Опять Ну запихнуть туда жабаскрипт было можно было только с далеко идущими план, Аноним (8), 12:23 , 24-Апр-26, (8) –1

А, я перепутал с policykit Что такое сабж вообще без понятия , Аноним (8), 12:24 , 24-Апр-26, (11) –1

там что, никаких ИД и прочего у операций нет, что запросто можно подобную ситуац, Смузихлеб забывший пароль (?), 12:46 , 24-Апр-26, (14)
Т е пользователь и так имел возможность устанавливать пакеты Ну такая себе уяз, Аноним (15), 12:53 , 24-Апр-26, (15)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в PackageKit, позволяющая получить права root в р..." –1 +/–

Сообщение от мяа (?), 24-Апр-26, 11:38

будет как с уязвимостью в полките, к.ю что б эксплуатировать не нужны только рут-права ?

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в PackageKit, позволяющая получить права root в р..." –1 +/–

Сообщение от Анонимище (?), 24-Апр-26, 11:39

"Тысяча глаз" из потенции стала суровой реальностью. "Да кому мой проект нужен?" уже не прокатит

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в PackageKit, позволяющая получить права root в р..." +4 +/–

Сообщение от Аноним (5), 24-Апр-26, 11:51

Самое смешное что никто даже не посмотрит что за автор разместил вредоносный коммит, что за мейнтейнер его одобрил. И даже не потому что кто-то считает это специально добавленным трояном, а потому что нужно проверить все коммиты автора на предмет этих случайных """ошибок""" и если они повторяются автора нужно выгнать из проекта и выдать волчий билет, чтобы он никогда не смог работать программистом. Без этого эту систему никогда, ни в каком виде, никакой Раст не спасёт.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в PackageKit, позволяющая получить права root в р..." +1 +/–

Сообщение от Аноним (13), 24-Апр-26, 12:44

> нужно выгнать из проекта и выдать волчий билет
Там внезапно может оказаться, что весь проект такой...

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в PackageKit, позволяющая получить права root в р..." +/–

Сообщение от Аноним (16), 24-Апр-26, 12:56

Ну ок, автор добавил 10000 строк, 100 из них проблемные и 10 приводят к выполнению кода, автора в котел, а другой добавил 200 строк и 2 приводят к выполнению кода, ок, но первый в проекте 10 лет и 100% американец, или чей там проект, свой короче, а второй чужой в проекте 2 недели, и не добавил 3ю уязвимость только потому, что партия еще не приказала.
Итого через 30 лет работы программистом каждый 2й будет иметь клеймо, а молодой студентик чистенький как первый снег сможет попасть в любой проект и продать его (инсайды какието) без малейших проблем.
Это так не работает.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

3. "Уязвимость в PackageKit, позволяющая получить права root в р..." +1 +/–

Сообщение от Аноним (5), 24-Апр-26, 11:40

Случайность. Жиа Тан не виноват.

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в PackageKit, позволяющая получить права root в р..." –1 +/–

Сообщение от Аноним (4), 24-Апр-26, 11:49

Дебиан - пофикшено. Убунту - рассматривается. Типичненько. На заметку всем интересующимся соседней новостью про убунту 26.04. И так будет еще ажно 5 лет для всех, и еще 5 или 10 для платных подписчиков. Торопитесь!

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в PackageKit, позволяющая получить права root в р..." +1 +/–

Сообщение от sig11 (ok), 24-Апр-26, 12:05

apt purge packagekit
и стало лучше во всех отношениях...

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в PackageKit, позволяющая получить права root в р..." +/–

Сообщение от Аноним (9), 24-Апр-26, 12:23

Ответ Gemini:
Такие программы, как «Центр приложений» (GNOME Software) или Plasma Discover, могут перестать работать корректно или потеряют возможность устанавливать/обновлять софт, так как они зависят от PackageKit для выполнения этих задач.
...
Сама утилита apt продолжит работать в терминале, так как она не зависит от PackageKit. Удаление PackageKit безопасно, если вы предпочитаете управлять пакетами через командную строку.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в PackageKit, позволяющая получить права root в р..." +/–

Сообщение от Аноним (9), 24-Апр-26, 12:27

Предположение от Анонима (9): если пользоваться только терминалом для установки/обновления программ и отключить автоматическое обновление (например, в Runtu отключено по умолчанию), то наличие сабжа на компьютере не представляет опасности.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в PackageKit, позволяющая получить права root в р..." +1 +/–

Сообщение от Аноним (7), 24-Апр-26, 12:18

Объясните, зачем это вообще нужно "D-Bus-прослойка, унифицирующая операции управления пакетами".

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в PackageKit, позволяющая получить права root в р..." +/–

Сообщение от Аноним (17), 24-Апр-26, 12:57

В 2007 году планировалось, что разработчики программ смогут подтягивать зависимости через PackageKit. Независимо от того, Fedora у пользователя или Ubuntu. Но RH и производные были никому не нужны на десктопах уже тогда. Даже несмотря на внезапно годный релиз Fedora 8, после которого RH опомнился и перестал выкатывать лажу. Успех Ubuntu их отрезвил, но было поздно.
Когда самым новым дистром был Ubuntu 12.10, Steam устанавливал зависимости для игр через apt-get. Всем уже тогда было плевать на PackageKit. Позже Steam начал носить зависимости "с собой".
Когда я ставил Запрет, он подтягивает зависимости через apt или zypper, но не через PackageKit.
Все проги распространяются через RPM и DEB, прописывая зависимости в своих пакетах. Ставишь Скайп, он сам подтянет qt4-32bit. PackageKit в теории может быть нужен прогам, которые ставятся из run-инсталлятора, по типу Maya или DaVinci. Но и они его не используют.
Юзерам на PackageKit тоже пофиг.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в PackageKit, позволяющая получить права root в р..." +/–

Сообщение от Аноним (16), 24-Апр-26, 13:07

Потому что управление в системе через ж..у, глобальная блокировка и всех в пень, вот тебе пример, пытается сервер качать пакет с зеркала, а он там битый, скачивает смотрит контрольную сумму, удаляет качает опять, так продолжается долгое время пока случайно не понадобилось чтото установить руками, а пакетный менеджер не запускается, ну час ну два, но на 2й день стало понятно что чтото не то, и посмотреть чтоже делает экземпляр пакетного менеджера вообще никак, в логах только где выковыривать.
D-Bus-прослойка позволяет запустить менеджер и обновление в консоли, а потом без особых проблем наблюдать за процессом из графической тузлы, а не ловить там ошибку блокировки, потому что другой экземпляр гдето делает чегото, это же справедливо и для кокпита, вэб морды управления, можно потыкать мышкой в браузере и обновить все серваки кучей.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

8. "Уязвимость в PackageKit, позволяющая получить права root в р..." –1 +/–

Сообщение от Аноним (8), 24-Апр-26, 12:23

Опять? Ну запихнуть туда жабаскрипт было можно было только с далеко идущими планами.

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в PackageKit, позволяющая получить права root в р..." –1 +/–

Сообщение от Аноним (8), 24-Апр-26, 12:24

А, я перепутал с policykit. Что такое сабж вообще без понятия.

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в PackageKit, позволяющая получить права root в р..." +/–

Сообщение от Смузихлеб забывший пароль (?), 24-Апр-26, 12:46

там что, никаких ИД и прочего у операций нет, что запросто можно подобную ситуацию учинить и систему совсем не смутит, что параметры одной операции "накатили" на совсем другую, причём, с совсем другими правами ?

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в PackageKit, позволяющая получить права root в р..." +/–

Сообщение от Аноним (15), 24-Апр-26, 12:53

>Подменив информацию об устанавливаемом пакете можно вместо разрешённого пакета установить любой другой пакет
Т.е. пользователь и так имел возможность устанавливать пакеты. Ну такая себе уязвимость

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в PackageKit, позволяющая получить права root в р..."	–1 +/–
Сообщение от мяа (?), 24-Апр-26, 11:38
будет как с уязвимостью в полките, к.ю что б эксплуатировать не нужны только рут-права ?
Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Уязвимость в PackageKit, позволяющая получить права root в р..."	–1 +/–
Сообщение от Анонимище (?), 24-Апр-26, 11:39
"Тысяча глаз" из потенции стала суровой реальностью. "Да кому мой проект нужен?" уже не прокатит
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Уязвимость в PackageKit, позволяющая получить права root в р..."	+4 +/–
	Сообщение от Аноним (5), 24-Апр-26, 11:51
	Самое смешное что никто даже не посмотрит что за автор разместил вредоносный коммит, что за мейнтейнер его одобрил. И даже не потому что кто-то считает это специально добавленным трояном, а потому что нужно проверить все коммиты автора на предмет этих случайных """ошибок""" и если они повторяются автора нужно выгнать из проекта и выдать волчий билет, чтобы он никогда не смог работать программистом. Без этого эту систему никогда, ни в каком виде, никакой Раст не спасёт.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Уязвимость в PackageKit, позволяющая получить права root в р..."	+1 +/–
	Сообщение от Аноним (13), 24-Апр-26, 12:44
	> нужно выгнать из проекта и выдать волчий билет Там внезапно может оказаться, что весь проект такой...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимость в PackageKit, позволяющая получить права root в р..."	+/–
	Сообщение от Аноним (16), 24-Апр-26, 12:56
	Ну ок, автор добавил 10000 строк, 100 из них проблемные и 10 приводят к выполнению кода, автора в котел, а другой добавил 200 строк и 2 приводят к выполнению кода, ок, но первый в проекте 10 лет и 100% американец, или чей там проект, свой короче, а второй чужой в проекте 2 недели, и не добавил 3ю уязвимость только потому, что партия еще не приказала. Итого через 30 лет работы программистом каждый 2й будет иметь клеймо, а молодой студентик чистенький как первый снег сможет попасть в любой проект и продать его (инсайды какието) без малейших проблем. Это так не работает.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору

3. "Уязвимость в PackageKit, позволяющая получить права root в р..."	+1 +/–
Сообщение от Аноним (5), 24-Апр-26, 11:40
Случайность. Жиа Тан не виноват.
Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Уязвимость в PackageKit, позволяющая получить права root в р..."	–1 +/–
Сообщение от Аноним (4), 24-Апр-26, 11:49
Дебиан - пофикшено. Убунту - рассматривается. Типичненько. На заметку всем интересующимся соседней новостью про убунту 26.04. И так будет еще ажно 5 лет для всех, и еще 5 или 10 для платных подписчиков. Торопитесь!
Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Уязвимость в PackageKit, позволяющая получить права root в р..."	+1 +/–
Сообщение от sig11 (ok), 24-Апр-26, 12:05
apt purge packagekit и стало лучше во всех отношениях...
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимость в PackageKit, позволяющая получить права root в р..."	+/–
	Сообщение от Аноним (9), 24-Апр-26, 12:23
	Ответ Gemini: Такие программы, как «Центр приложений» (GNOME Software) или Plasma Discover, могут перестать работать корректно или потеряют возможность устанавливать/обновлять софт, так как они зависят от PackageKit для выполнения этих задач. ... Сама утилита apt продолжит работать в терминале, так как она не зависит от PackageKit. Удаление PackageKit безопасно, если вы предпочитаете управлять пакетами через командную строку.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимость в PackageKit, позволяющая получить права root в р..."	+/–
	Сообщение от Аноним (9), 24-Апр-26, 12:27
	Предположение от Анонима (9): если пользоваться только терминалом для установки/обновления программ и отключить автоматическое обновление (например, в Runtu отключено по умолчанию), то наличие сабжа на компьютере не представляет опасности.
	Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Уязвимость в PackageKit, позволяющая получить права root в р..."	+1 +/–
Сообщение от Аноним (7), 24-Апр-26, 12:18
Объясните, зачем это вообще нужно "D-Bus-прослойка, унифицирующая операции управления пакетами".
Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Уязвимость в PackageKit, позволяющая получить права root в р..."	+/–
	Сообщение от Аноним (17), 24-Апр-26, 12:57
	В 2007 году планировалось, что разработчики программ смогут подтягивать зависимости через PackageKit. Независимо от того, Fedora у пользователя или Ubuntu. Но RH и производные были никому не нужны на десктопах уже тогда. Даже несмотря на внезапно годный релиз Fedora 8, после которого RH опомнился и перестал выкатывать лажу. Успех Ubuntu их отрезвил, но было поздно. Когда самым новым дистром был Ubuntu 12.10, Steam устанавливал зависимости для игр через apt-get. Всем уже тогда было плевать на PackageKit. Позже Steam начал носить зависимости "с собой". Когда я ставил Запрет, он подтягивает зависимости через apt или zypper, но не через PackageKit. Все проги распространяются через RPM и DEB, прописывая зависимости в своих пакетах. Ставишь Скайп, он сам подтянет qt4-32bit. PackageKit в теории может быть нужен прогам, которые ставятся из run-инсталлятора, по типу Maya или DaVinci. Но и они его не используют. Юзерам на PackageKit тоже пофиг.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Уязвимость в PackageKit, позволяющая получить права root в р..."	+/–
	Сообщение от Аноним (16), 24-Апр-26, 13:07
	Потому что управление в системе через ж..у, глобальная блокировка и всех в пень, вот тебе пример, пытается сервер качать пакет с зеркала, а он там битый, скачивает смотрит контрольную сумму, удаляет качает опять, так продолжается долгое время пока случайно не понадобилось чтото установить руками, а пакетный менеджер не запускается, ну час ну два, но на 2й день стало понятно что чтото не то, и посмотреть чтоже делает экземпляр пакетного менеджера вообще никак, в логах только где выковыривать. D-Bus-прослойка позволяет запустить менеджер и обновление в консоли, а потом без особых проблем наблюдать за процессом из графической тузлы, а не ловить там ошибку блокировки, потому что другой экземпляр гдето делает чегото, это же справедливо и для кокпита, вэб морды управления, можно потыкать мышкой в браузере и обновить все серваки кучей.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору

8. "Уязвимость в PackageKit, позволяющая получить права root в р..."	–1 +/–
Сообщение от Аноним (8), 24-Апр-26, 12:23
Опять? Ну запихнуть туда жабаскрипт было можно было только с далеко идущими планами.
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Уязвимость в PackageKit, позволяющая получить права root в р..."	–1 +/–
	Сообщение от Аноним (8), 24-Апр-26, 12:24
	А, я перепутал с policykit. Что такое сабж вообще без понятия.
	Ответить \| Правка \| Наверх \| Cообщить модератору

14. "Уязвимость в PackageKit, позволяющая получить права root в р..."	+/–
Сообщение от Смузихлеб забывший пароль (?), 24-Апр-26, 12:46
там что, никаких ИД и прочего у операций нет, что запросто можно подобную ситуацию учинить и систему совсем не смутит, что параметры одной операции "накатили" на совсем другую, причём, с совсем другими правами ?
Ответить \| Правка \| Наверх \| Cообщить модератору

15. "Уязвимость в PackageKit, позволяющая получить права root в р..."	+/–
Сообщение от Аноним (15), 24-Апр-26, 12:53
>Подменив информацию об устанавливаемом пакете можно вместо разрешённого пакета установить любой другой пакет Т.е. пользователь и так имел возможность устанавливать пакеты. Ну такая себе уязвимость
Ответить \| Правка \| Наверх \| Cообщить модератору