このテック畑を20年やってきて、新しいエクスプロイトが出るたび同じパターンだ。PRは「軽微な問題」と言い張り、セキュリティ屋は新製品を売りつけてくる。一握りのエンジニアが慌てふためくだけ。だが、Pack2TheRootはちょっと違う。影の国家アクターじゃなく、まさかのパッケージマネージャーの欠陥だ。
要するに、PackageKit——Linuxディストリビューション間でパッケージ管理を楽にするはずのレイヤー——にテキサス州サイズの穴が空いている。ユーザーアクセスが少しでもあれば、誰でもトラックごと突っ込める。Deutsche TelekomのRed Teamが見つけたが、説明があまりにストレートで、ニヤリとして即パニックだ。
本当に簡単に悪用できるのか?
どうやらそうだ。time-of-check time-of-use(TOCTOU)レースコンディションと呼んでいる。システムがチェックしてOKと判断しても、実際に実行する頃には状況が変わっており、ドカン! 制御不能の列車だ。具体的には、非特権ユーザーがパッケージインストール要求に悪意あるフラグをくっつける。システムはインストール時に再チェックせず、任意のRPMをスクリプトレット付きでroot権限でぶち込む。本人確認なし、面倒なし。root権限ゲット。楽勝。
“Even though the vulnerability is reliably exploitable in seconds, it leaves traces that serve as a strong indicator of compromise.”
発見者自身のこの言葉は金脈だ。数秒で確実に悪用可能だと認めつつ、「ログに痕跡が残るから」と。運が良ければ、しかも何を探すか知っていれば。大抵のシステム管理者はログの海に溺れている。がんばれ。
誰がこれで儲かるのか?
これが本質的な疑問だ。今のところPack2TheRootで直接金儲けしてる奴はいない。修正の魔法の弾を売る連中くらいか。長期的に得するのは攻撃者だ。パッケージマネージャーにコマンド数個送るだけでサーバー乗っ取り——バウンサーに20ドル渡してバックステージ入るようなもんだ。ディストリビューターには黒い目、パッチ追加、セキュリティ姿勢への疑問符。
この欠陥、CVE-2026-41651のCVSSスコアは8.1。高深刻度だ。バージョン0.8.1——14年前! iPhone 4以前のバグだ。こんな基本的なものがどう生き延びた? 触れられず精査されぬコードの多さを証明している。PackageKitは便利な抽象化のはずが、悪夢の抽象化になった。
どのディストリビューションが影響受ける?
Deutsche Telekomのリストは見るに堪えない。Ubuntu Desktop 18.04(古くてサポート切れ、使ってるお前が悪い)、24.04.4と26.04(LTSベータ)、Ubuntu Server 22.04〜24.04(LTS、痛い)、Debian Desktop Trixie 13.4、RockyLinux Desktop 10.1、Fedora 43 Desktop/Server。「PackageKitを有効で同梱する全ディストリビューションが危ない」とストレートだ。CockpitインストールサーバーもPackageKit引き込むから多い。RHELユーザー、注目しろ。
ニッチアプリのゼロデイじゃない。Linuxのソフトウェア管理の基盤だ。PackageKit有効なら(デスクトップユーザーは大抵そう)、暴露状態。修正は出てる——PackageKit 1.3.5で直り、アップデート展開中。だが、数年この大穴が開きっぱなし。技術知ってる奴への無言の招待状だ。
俺の感想? 目覚ましだ。AI脅威、国家スパイ、複雑マルウェアに気を取られ、低い実の基本を忘れる。Pack2TheRootは玄関開けっ放しと同じ。高度ハックじゃなく基本衛生。10年以上触れられぬ頼みのコードに何が潜むか、考えさせられる。
🧬 Related Insights
- Read more: RSAC 2026: AI Hype Meets Human Reality in Cybersecurity
- Read more: What is a Zero-Day Vulnerability?
