20498 2026-04-24 12:21:31 +0300 [cve 13] [cve 21] packagekit CVE-2026-41651 2026-04-24 13:23:11 +0300 1 1 2 ROSA-based products ROSA Fresh Packages from Main All All Linux RESOLVED FIXED High critical --- 1 m.novosyolov bugs a.safin ROSA13 oldest_to_newest 89906 0 m.novosyolov 2026-04-24 12:21:31 +0300 ********** QA ADVISORY ********** rosa13: packagekit 1.3.5-1 - updated from 1.3.1 to 1.3.5 - fixed CVE-2026-41651 https://abf.io/build_lists/5575218 https://abf.io/build_lists/5575219 https://abf.io/build_lists/5575220 https://abf.io/build_lists/5575221 89908 1 a.proklov 2026-04-24 12:26:05 +0300 *** Bug 20277 has been marked as a duplicate of this bug. *** 89909 2 m.novosyolov 2026-04-24 12:36:34 +0300 rosa2021.1: packagekit 1.1.13-6 - backported fix of CVE-2026-41651 https://abf.io/build_lists/5575223 https://abf.io/build_lists/5575224 https://abf.io/build_lists/5575225 89980 3 m.novosyolov 2026-04-24 13:04:12 +0300 ********* Tested ********* 89982 4 m.novosyolov 2026-04-24 13:22:39 +0300 Было: $ sudo cat /usr/share/polkit-1/rules.d/org.freedesktop.packagekit.rules [sudo] пароль для mikhailnov: polkit.addRule(function(action, subject) { if (action.id == "org.freedesktop.packagekit.package-install" && subject.active == true && subject.local == true && subject.isInGroup("wheel")) { return polkit.Result.YES; } }); Стало: $ sudo cat /usr/share/polkit-1/rules.d/org.freedesktop.packagekit.rules // Allows users belonging to privileged groups to trigger system updates // without a password prompt. polkit.addRule(function(action, subject) { if ((action.id == "org.freedesktop.packagekit.system-update" || action.id == "org.freedesktop.packagekit.trigger-offline-update" || action.id == "org.freedesktop.packagekit.trigger-offline-upgrade") && subject.active == true && subject.local == true && (subject.isInGroup("wheel") || subject.isInGroup("sudo"))) { return polkit.Result.YES; } }); Теперь "pkcon install xxx" запрашивает пароль, но обновления системы наоборот стали без пароля. Для консистентности со Светофором и остальными местами в системе правильнее, чтобы в обоих случаях запрашивался пароль. Выделены подпакеты: packagekit-wheel-update-no-password - новый вариант правила packagekit-wheel-install-no-password - старый вариант правила Их можно поставить одновременно, не конфликтуют. по умолчанию ни один из них не будет установлен. 89983 5 m.novosyolov 2026-04-24 13:23:11 +0300 packagekit 1.3.5-3 rosa13 https://abf.io/build_lists/5575245 https://abf.io/build_lists/5575246 https://abf.io/build_lists/5575247 https://abf.io/build_lists/5575248