Pardus Linux の脆弱性 CVE-2026-5140:ローカル・サイレント昇格による root 権限の奪取

Pardus Linux Vulnerability Lets Local Attackers Gain Silent Root Access

2026/05/20 gbhackers — Pardus Linux のアップデート・メカニズムにおいて、未認証のローカル・ユーザーが完全な root 権限を取得できる、深刻な権限昇格脆弱性チェーン CVE-2026-5140 (CVSS:8.8 High) が発見された。 この問題は、 pardus-update パッケージに影響するものであり、3 つの異なる脆弱性が組み合わさることで、わずか数秒でシステム全体が侵害される恐れがある。

Pardus Linux の脆弱性

Pardus Linux は TUBITAK により維持管理される Debian ベースのディストリビューションであり、トルコの政府機関/教育機関で広く利用されている。このシステムは、アップデート処理に pardus-update ユーティリティを使用しており、PolicyKit (Polkit) による特権操作を Python スクリプト経由で実行する。

このシステムにおいて、セキュリティ研究者 Cagrı Eser (0xc4gr1) が特定したのは、認可バイパス/入力インジェクション/安全でないファイル処理という 3 つの弱点の組み合わせにより、非特権ローカル・アカウントからサイレントに権限昇格できることだ。

発見された攻撃チェーンは、以下の要素で構成される。

  • Polkit 認可バイパス (CWE-285):Polkit ポリシー・ファイルのミスコンフィグにより、任意ユーザーが認証なしで特権アップデート操作を実行可能となる。パッケージ更新/システム・コンフィグ変更などの重要操作が allow_any=yes に設定されており、pkexec 経由で root 権限が付与される。
  • CRLF インジェクション (CWE-93):SystemSettingsWrite.py スクリプトはユーザー入力を適切にサニタイズしていない。改行文字は除去されるが、キャリッジ・リターン (\r) は除去されないため、攻撃者は “/etc/pardus/pardus-update.conf” に任意の設定エントリを注入可能となる。
  • 信頼されない APT ソース・パス (CWE-426):AutoAptUpgrade.py スクリプトは、攻撃者が制御する設定値を読み取り、検証なしで任意の APT リポジトリ・ファイルを “/etc/apt/sources.list.d/” にコピーする。これにより、 システム更新時に悪意のパッケージの実行が可能となる。
Full root shell obtained (Source: medium)
Full root shell obtained (Source: medium)
Proof of Concept (概要)

攻撃は以下 2 ステップで実行される。

  1. 設定ファイルへ悪意あるリポジトリ・パスを注入する:
    pkexec SystemSettingsWrite.py write lastupgrade $'123\rcustom_sourcesd_path=/tmp/pwn.list'
  2. アップデート処理を起動し、悪意のパッケージをインストールさせる:
    pkexec AutoAptUpgrade.py

悪意のパッケージは post-install スクリプトを含み、”/bin/bash” に SUID ビットを設定することで永続的 root アクセスを確立する。

  • chmod +s /bin/bash

その後に攻撃者は、以下により root シェルを取得可能となる。

  • /bin/bash -p
影響
  • Confidentiality:”/etc/shadow” などの機密性の高いファイルへの完全アクセス。
  • Integrity:システム・バイナリ改変/バックドア設置/rootkit 配置。
  • Availability:システムの完全掌握。
  • Scope:ユーザー権限から root 権限への昇格。

共有端末/侵害済みアカウントを含む、ローカル・ユーザー・アクセスが可能なすべての環境がリスク対象となる。

対策および修正

管理者は、以下の対策を適用する必要がある。

  • Polkit ポリシー強化:allow_any=yes を auth_admin に変更し、認証を必須化する。
  • 入力サニタイズ強化:設定スクリプト内のユーザー入力から “\r” および “\n” を除去する。
  • APT ソース検証:リポジトリ・パスを信頼済みディレクトリのみに制限し、”/tmp” など書き込み可能パスを禁止する。

修正案として、 以下に入力サニタイズ修正例を提示する。

timestamp = sys.argv[3].replace('\r', '').replace('\n', '')
タイムラインおよび研究者情報
  • 発見日: 2026年3月13日
  • 研究者: Cagrı Eser (0xc4gr1)
  • 脆弱性分類: CWE-285/CWE-93/CWE-426

Pardus Linux を利用する組織は、脆弱なコンフィグ設定の監査およびパッチ適用を直ちに実施すべきである。それと同時に、不正な APT ソースや異常な権限昇格の継続的監視も必要となる。


このインシデントが示すのは、小規模なミスコンフィグが連鎖することで深刻な攻撃チェーンへ発展することである。安全なデフォルト設定/厳格な入力検証/適切な権限制御が、システム設計において不可欠となる。

今回の脆弱性である CVE-2026-5140 は、 3つの小さな問題が重なることで発生しています。原因の 1つ目は、認証の設定ミスにより、誰でも特権操作ができてしまったことです。2つ目は、入力された文字のチェックが不十分であり、 設定ファイルに不正な書き込みを許してしまったことです。そして 3つ目は、 信頼できない場所にあるファイルを検証せずに取り込んでしまったことです。それぞれが、単純なミスに見えるかもしれませんが、これらが組み合わさることで重大な脅威に繋がってしまいます。 ご利用のチームは、ご注意ください。