PackageKit 데몬의 인증 처리 결함으로 인해, 로컬 사용자가 관리자 권한 없이도 시스템 패키지를 마음대로 설치·제거하고 root 권한을 획득할 수 있는 취약점이다. Ubuntu, Debian, Fedora, Red Hat 등 PackageKit이 기본 탑재된 대부분의 주요 Linux 배포판이 영향을 받는다.
취약점은 2014년부터 존재해온 것으로, 약 12년간 수많은 시스템에 배포된 상태였다. Deutsche Telekom 레드팀이 Claude Opus를 활용한 AI 보조 연구로 취약점을 식별했으며, 2026년 4월 22일 PackageKit 1.3.5 패치와 함께 공개 공시됐다.
| 취약점 | 상세내용 |
|---|---|
| 취약점 공개일 | 2026년 4월 22일 |
| 취약점 점수 | CVSS 3.1: 8.8 (High) |
| 설명 | PackageKit D-Bus 트랜잭션 처리의 TOCTOU 경쟁 조건으로 인해 Polkit 인증 우회 및 root 권한 획득 가능 |
| 취약점 영향 제품 | PackageKit 1.0.2 ~ 1.3.4 |
| (Ubuntu, Debian, Fedora, RHEL, Rocky Linux 등 기본 탑재 배포판 전체) | |
| 악용 사례 | 현재까지 알려진 실제 악용 사례 없음. PoC 존재하나 패치 전파를 위해 미공개 상태 |
| 날짜 | 상세내용 |
|---|---|
| 📍 2025년 | Deutsche Telekom 레드팀, PackageKit 권한 상승 벡터 조사 시작 |
| 📍 2026년 4월 8일 | PackageKit 메인테이너 및 Red Hat에 최초 보고 |
| 📍 2026년 4월 10일 | 메인테이너, 취약점 타당성 확인 |
| 📍 2026년 4월 13일 | 메인테이너 1차 패치 초안 작성 |
| 📍 2026년 4월 19일 | distros 메일링 리스트를 통해 배포판 벤더 비공개 사전 통보 |
| 📍 2026년 4월 22일 | PackageKit 1.3.5 릴리즈 및 공개 Disclosure |
공격이 성공하면 PackageKit 데몬이 assertion failure와 함께 크래시되며, 이를 주요 IOC로 활용할 수 있다.
journalctl -u packagekit | grep "emitted_finished"