En bref

  • Pack2TheRoot (CVE-2026-41651, CVSS 8.8) transforme tout utilisateur Linux local en root via PackageKit.
  • Toutes les versions PackageKit entre 1.0.2 et 1.3.4 sont vulnérables sur Ubuntu, Debian, Fedora et leurs dérivés.
  • Correctif PackageKit 1.3.5 publié le 22 avril 2026 — appliquer en urgence sur tout poste multi-utilisateur.

Ce qui s'est passé

Les chercheurs de Telekom Security ont publié le 22 avril 2026 les détails de Pack2TheRoot, une vulnérabilité d'élévation locale de privilèges qui touche PackageKit, le démon d'abstraction de gestion de paquets utilisé par défaut sur la plupart des distributions Linux. Référencée CVE-2026-41651 et notée 8.8 sur l'échelle CVSS 3.1, la faille combine une race condition de type TOCTOU et une validation d'entrée défaillante pour contourner totalement les contrôles Polkit. Concrètement, n'importe quel utilisateur local non privilégié peut installer ou désinstaller silencieusement n'importe quel paquet système — sans mot de passe, sans interaction utilisateur — et basculer la machine en root en quelques secondes. Toutes les versions de PackageKit publiées depuis plus de douze ans, soit l'intégralité de la branche 1.0.2 à 1.3.4, sont vulnérables, et l'exploitation a été confirmée par les chercheurs sur Ubuntu Desktop 18.04, 24.04.4 LTS et 26.04 beta avec les backends apt et dnf, ce qui couvre la quasi-totalité des serveurs et postes Linux exposés à des comptes utilisateurs multiples.

Le rapport décrit un mécanisme d'exploitation simple et fiable : la preuve de concept des chercheurs obtient un shell root en moins de cinq secondes, sans nécessiter de privilège préalable ni de configuration particulière. Telekom Security a choisi de ne pas publier l'exploit complet, mais l'analyse technique fournie dans l'advisory GitHub est suffisamment détaillée pour permettre une réimplémentation rapide.

Pourquoi c'est important

PackageKit est installé par défaut sur Ubuntu Desktop, Fedora Workstation et la plupart des dérivés Debian — y compris les images cloud officielles et les builds proposés par AWS, Azure et GCP. Les serveurs partagés, postes de développeurs, bornes kiosk et environnements VDI sont en première ligne : un compte applicatif limité, une session SSH non privilégiée ou un container mal isolé suffit à compromettre le système entier. Pour les organisations qui exploitent du Linux multi-tenant, ce niveau de gravité rappelle les enjeux récents observés sur les exploitations rapides de failles open-source.

Le scénario le plus inquiétant reste l'enchaînement avec une faille distante côté web ou container : un attaquant qui obtient un shell utilisateur via une vulnérabilité applicative passe immédiatement à root sans dépendre d'une autre primitive d'escalade. La problématique se rapproche de celles observées avec les escalades locales Windows récentes, où la combinaison RCE distante + LPE locale forme la chaîne complète d'attaque.

Ce qu'il faut retenir

  • Mettre à jour PackageKit vers la version 1.3.5 ou appliquer les backports Debian, Ubuntu, Fedora dès leur publication.
  • Surveiller les logs systemd : la chaîne « PackageKit:ERROR:../src/pk-transaction.c:514 » signe une tentative d'exploitation.
  • Sur les serveurs sans usage interactif, désactiver complètement le démon PackageKit via systemctl disable --now packagekit.
  • Auditer les comptes locaux non privilégiés et les containers partageant le namespace utilisateur de l'hôte.

Faut-il un compte utilisateur valide pour exploiter Pack2TheRoot ?

Oui — la faille n'est exploitable qu'en local. Elle ne donne pas l'accès initial mais transforme n'importe quel shell non privilégié (compte limité, session web, container cassé) en accès root complet. Le risque est donc maximal sur les serveurs multi-utilisateurs et les postes de développement où plusieurs comptes humains coexistent. Voir aussi notre analyse de la priorisation des failles activement exploitées.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact