🔔 亲爱的 deepin 用户与社区伙伴们,

deepin 25.1 更新来啦!本次更新涉及最新“Pack2TheRoot” 高危漏洞紧急修复,同时针对近期升级用户音频设备丢失问题进行了优化,强烈建议大家第一时间更新升级。

 

01 2026年4月23日 更新详情

  • 修复部分用户音频设备丢失问题;
  • 修改移除部分失效智能镜像源,修复部分用户因IP被禁止导致的更新失败问题;
  • 修复部分已知CVE安全漏洞(含“Pack2TheRoot” 高危漏洞),提升系统安全性。

 

关于“Pack2TheRoot” 高危漏洞紧急修复的说明

Deutsche Telekom’s Red Team 的安全研究员近期在 PackageKit 中发现了一个 Time-of-check Time-of-use (TOCTOU) 漏洞。

该漏洞可以使得非特权的攻击者可以在未经授权下进行安装或移除软件包,进而可以获取到 root 权限,或进行其他操作。

漏洞编号:CVE-2026-41651 / GHSA-f55j-vvr9-69xv

 

我是否受影响?

所有未更新 deepin 25 的用户均受影响,建议立即更新升级。
 

临时防范措施

暂无,只能通过系统更新解决。

 

 

02 修复版本信息

deepin 25 已在本次更新中通过补丁的方式进行修复。

您可以通过

dpkg -l | grep -i packagekit

来检查您当前的版本。

  • 未修复版本为:1.2.8-2deepin1  及更低
  • 修复版本为:1.2.8-2deepin2 

 

03 事件时间线

2026 年 4 月 22 日 18:56  上游发布 1.3.5 版本

2026 年 4 月 22 日 19:31   上游发布

2026 年 4 月 22 日 20:30  deepin 监测到该漏洞信息

2026 年 4 月 23 日 09:56  进行漏洞修补并集成

2026 年 4 月 23 日 13:15   集成测试通过

2026 年 4 月 23 日 16:58  已集成并开始进行推送

 

参考资料:
  • https://lists.freedesktop.org/archives/packagekit/2026-April/026513.html
  • https://github.security.telekom.com/2026/04/pack2theroot-linux-local-privilege-escalation.html
  • https://github.com/PackageKit/PackageKit/security/advisories/GHSA-f55j-vvr9-69xv
  • https://www.openwall.com/lists/oss-security/2026/04/22/6
  • https://github.com/PackageKit/PackageKit/commit/76cfb675fb31acc3ad5595d4380bfff56d2a8697
以上就是本次 deepin 25.1 正式版的全部更新内容啦,再次感谢每一位 deepin 社区朋友的支持!
deepin 作为在 DistroWatch 全球排名中表现亮眼、广受全球用户认可的开源操作系统持续迭代漏洞响应,全力打造稳定可信、安全无忧的开源桌面生态 。
如您在更新或使用过程中遇到任何问题,欢迎前往 deepin社区论坛交流反馈。

发表评论