https://opennet.dev/openforum/vsluhforumID3/139899.html В PackageKit, D-Bus-прослойке, унифицирующей операции управления пакетами, выявлена уязвимость Pack2TheRoot (CVE-2026-41651), позволяющая непривилегированному пользователю установить или удалить произвольный пакет и получить root-доступ к системе. Проблема проявляется начиная с версии 1.0.2 (2014 год) и устранена в выпуске PackageKit 1.3.5...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65277<br> https://opennet.dev/openforum/vsluhforumID3/139899.html#24 Fri, 24 Apr 2026 11:16:48 GMT &gt; Дебиан - пофикшено. Убунту - рассматривается. Типичненько. На заметку всем интересующимся <br>&gt; соседней новостью про убунту 26.04. И так будет еще ажно 5 <br>&gt; лет для всех, и еще 5 или 10 для платных подписчиков. <br>&gt; Торопитесь!<br><br>Типичненько на самом деле наоборот, когда в ubuntu даже в старых версиях дыры латают даже в Universe, хотя и не были обязаны, а у Debian, как уже не Stable, а oldstable, даже в Main не почешутся. <br><br>Это я как дебиановод говорю, с сожалением, а не злорадством. К сожалению приходится признать, что в целом в Ubuntu уязвисмости латают лучше.<br> https://opennet.dev/openforum/vsluhforumID3/139899.html#23 Fri, 24 Apr 2026 11:10:50 GMT &gt;в фоновом процессе PackageKit<br><br>А нефиг висеть фоновыми процессами.<br> https://opennet.dev/openforum/vsluhforumID3/139899.html#22 Fri, 24 Apr 2026 10:49:20 GMT Ищи кому выгодно, если ты понимаешь о чём я. <br> <br> https://opennet.dev/openforum/vsluhforumID3/139899.html#21 Fri, 24 Apr 2026 10:45:50 GMT Это так работает, программисты как и все люди имеют свой предел возможностей. Как и профессиональные спортсмены. Как и наши старческие власти. Если твои когнитивные способности кончились не плоди дыры. Не порть программные продукты и жизни странам, займись чем-нибудь попроще. <br> https://opennet.dev/openforum/vsluhforumID3/139899.html#20 Fri, 24 Apr 2026 10:22:56 GMT Это бэк для новомодных GUI "сторов" в Гномокедах. Если пользуешься CLI/TUI в консоли для установки пакетов, то оно тебе не надо.<br> https://opennet.dev/openforum/vsluhforumID3/139899.html#19 Fri, 24 Apr 2026 10:12:32 GMT Т.е. пользователь и так имел возможность удалять файлы, ну какая разница какие или чьи. Ну такая себе уязвимость<br><br>Т.е. пользователь и так имел возможность запускать код, ну какая разница какие или чьи. Ну такая себе уязвимость<br><br>Т.е. пользователь и так имел возможность стрелять из пистолета, ну какая разница куда. Ну такая себе уязвимость<br> https://opennet.dev/openforum/vsluhforumID3/139899.html#18 Fri, 24 Apr 2026 10:07:11 GMT Потому что управление в системе через ж..у, глобальная блокировка и всех в пень, вот тебе пример, пытается сервер качать пакет с зеркала, а он там битый, скачивает смотрит контрольную сумму, удаляет качает опять, так продолжается долгое время пока случайно не понадобилось чтото установить руками, а пакетный менеджер не запускается, ну час ну два, но на 2й день стало понятно что чтото не то, и посмотреть чтоже делает экземпляр пакетного менеджера вообще никак, в логах только где выковыривать.<br><br>D-Bus-прослойка позволяет запустить менеджер и обновление в консоли, а потом без особых проблем наблюдать за процессом из графической тузлы, а не ловить там ошибку блокировки, потому что другой экземпляр гдето делает чегото, это же справедливо и для кокпита, вэб морды управления, можно потыкать мышкой в браузере и обновить все серваки кучей.<br> https://opennet.dev/openforum/vsluhforumID3/139899.html#17 Fri, 24 Apr 2026 09:57:06 GMT В 2007 году планировалось, что разработчики программ смогут подтягивать зависимости через PackageKit. Независимо от того, Fedora у пользователя или Ubuntu. Но RH и производные были никому не нужны на десктопах уже тогда. Даже несмотря на внезапно годный релиз Fedora 8, после которого RH опомнился и перестал выкатывать лажу. Успех Ubuntu их отрезвил, но было поздно.<br><br>Когда самым новым дистром был Ubuntu 12.10, Steam устанавливал зависимости для игр через apt-get. Всем уже тогда было плевать на PackageKit. Позже Steam начал носить зависимости "с собой".<br><br>Когда я ставил Запрет, он подтягивает зависимости через apt или zypper, но не через PackageKit.<br><br>Все проги распространяются через RPM и DEB, прописывая зависимости в своих пакетах. Ставишь Скайп, он сам подтянет qt4-32bit. PackageKit в теории может быть нужен прогам, которые ставятся из run-инсталлятора, по типу Maya или DaVinci. Но и они его не используют.<br><br>Юзерам на PackageKit тоже пофиг.<br> https://opennet.dev/openforum/vsluhforumID3/139899.html#16 Fri, 24 Apr 2026 09:56:15 GMT Ну ок, автор добавил 10000 строк, 100 из них проблемные и 10 приводят к выполнению кода, автора в котел, а другой добавил 200 строк и 2 приводят к выполнению кода, ок, но первый в проекте 10 лет и 100% американец, или чей там проект, свой короче, а второй чужой в проекте 2 недели, и не добавил 3ю уязвимость только потому, что партия еще не приказала.<br><br>Итого через 30 лет работы программистом каждый 2й будет иметь клеймо, а молодой студентик чистенький как первый снег сможет попасть в любой проект и продать его (инсайды какието) без малейших проблем.<br><br>Это так не работает.<br>