CVE-2026-54229: Sårbarhed i ABRT på Linux-servere
Fejl i Linux-fejlrapporteringsværktøj giver angriber mulighed for at overtage systemfiler via et timing-angreb.
Hvad er det?
CVE-2026-54229 er en sårbarhed i abrt-dbus, en del af ABRT (Automatic Bug Reporting Tool), som bruges på Linux-systemer — særligt Red Hat- og Fedora-baserede servere — til automatisk at registrere og rapportere programnedbrud.
Fejlen ligger i en metode kaldet ChownProblemDir, som ændrer ejerskabet af en mappe med fejldata. Problemet er, at metoden gør dette på præcis det forkerte tidspunkt: mens systemet stadig arbejder med mappen med forhøjede rettigheder. En angriber med begrænset adgang til systemet kan udnytte dette lille vindue til at snige sig ind og overtage kontrollen over mappen — et såkaldt race condition-angreb.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer der driver Linux-servere baseret på Red Hat Enterprise Linux (RHEL), CentOS, Fedora eller kompatible distributioner, hvor ABRT-pakken er installeret og aktiv.
Det er særligt relevant hvis:
- Du har interne Linux-servere til fx webhosting, databaser eller forretningssystemer
- Du bruger en managed server hos en hostingudbyder med RHEL/CentOS
- Din IT-leverandør administrerer Linux-miljøer på dine vegne
Windows-brugere og rene cloud-tjenester uden Linux-backend er ikke berørt.
Hvad kan ske?
Hvis en angriber allerede har en begrænset brugerkonto på dit Linux-system — fx via et kompromitteret servicekonti eller en anden sårbarhed — kan vedkommende udnytte denne fejl til at:
- Overtage systemfiler: Angriberen kan ændre ejerskabet af en priviligeret mappe og de filer den indeholder, så de tilhører angriberens konto
- Eskalere rettigheder: Med kontrol over disse filer kan angriberen potentielt afvikle ondsindet kode med systemrettigheder (root-niveau)
- Læse fortrolige data: Fejlrapporter kan indeholde hukommelsesdumps (snapshots af hvad systemet kørte) med adgangskoder, tokens eller kundedata
- Sabotere systemet: Filer kan ændres eller slettes, hvilket kan føre til nedbrud eller datatab
Bemærk at angriberen skal have lokal adgang til systemet — det er ikke muligt at udnytte fejlen direkte fra internettet.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 7.0 — Alvorlig. Det betyder at konsekvenserne ved en vellykket udnyttelse er meget alvorlige: fuld kompromittering af fortrolighed, integritet og tilgængelighed på det berørte system.
Det dæmpende element er, at angrebet kræver:
- Lokal adgang til systemet (angriberen skal allerede have en brugerkonto)
- Høj angrebskompleksitet — timingen skal ramme et præcist vindue, hvilket kræver teknisk snilde og evt. flere forsøg
Disse faktorer gør det sværere at udnytte end fjernangreb, men det reducerer ikke alvoren af konsekvenserne, hvis det lykkes. Kombineret med andre sårbarheder — fx en svag adgangskode eller en eksponeret SSH-adgang — kan denne fejl være det afgørende skridt mod fuld systemkompromittering.
Hvad gør jeg nu?
Følg disse trin for at beskytte dit system mod CVE-2026-54229:
- Find ud af om du er berørt: Spørg din IT-ansvarlige eller leverandør om jeres Linux-servere kører ABRT (abrt-dbus-pakken). På RHEL/CentOS kan man tjekke ved at køre kommandoen
rpm -q abrt. - Opdatér straks: Tjek om Red Hat eller din Linux-distribution har udsendt en sikkerhedsopdatering til abrt. Anvend opdateringen via systemets pakkehåndtering (
yum update abrtellerdnf update abrt). - Overvej midlertidigt at deaktivere ABRT: Hvis en patch ikke er tilgængelig endnu, kan du deaktivere abrt-dbus-tjenesten midlertidigt. ABRT er et diagnosticeringsværktøj — ikke kritisk for daglig drift.
- Gennemgå brugeradgange: Sørg for at kun betroede brugere har lokal adgang til jeres Linux-servere. Fjern unødvendige konti og tjek at SSH-adgang kræver stærke nøgler eller MFA (multifaktorgodkendelse).
- Kontakt jeres IT-leverandør: Hvis I ikke selv administrerer jeres servere, så kontakt jeres leverandør og bed om bekræftelse på at denne sårbarhed er håndteret.
Opdatér inden for 30 dage
Selvom angrebet kræver lokal adgang og er teknisk kompliceret at gennemføre, er konsekvenserne alvorlige nok til at I bør handle hurtigt. Vi anbefaler at I straks tjekker om ABRT er aktivt på jeres servere og følger med i opdateringer fra jeres Linux-udbyder — en patch forventes snart.
I mellemtiden bør I stramme op på adgangsstyringen til jeres Linux-miljøer: begræns hvem der kan logge ind, aktivér logning af alle login-forsøg, og overvej at deaktivere abrt-dbus-tjenesten hvis den ikke er nødvendig for jeres daglige drift.
Tidslinje
Konkrete eksempler
Rettigheds-eskalering via fejlrapporteringsmappe
En angriber har fået adgang til en begrænset brugerkonto på en RHEL-server — fx fordi en medarbejder genbrugte et svagt kodeord. Angriberen kører et script der gentagne gange forsøger at time et kald til ChownProblemDir præcis mens systemets fejlhåndteringsscript kører med forhøjede rettigheder. Lykkes timingen, overtager angriberen ejerskabet af fejlrapporteringsmappen og kan placere ondsindet kode, der efterfølgende afvikles med root-rettigheder.
Udtræk af følsomme data fra hukommelsesdumps
Et program på serveren crasher og ABRT gemmer automatisk et hukommelsesdump (en kopi af hvad programmet kørte med på nedbrudstidspunktet) i en beskyttet mappe. En angriber udnytter sårbarheden til at overtage ejerskabet af denne mappe og læse dumpfilen, som kan indeholde adgangskoder, API-nøgler eller persondata der befandt sig i programmets hukommelse på nedbrudstidspunktet.
Kombinationsangreb med anden sårbarhed
En angriber udnytter en separat sårbarhed i en webapplikation til at få en begrænset shell-adgang på serveren. Herefter bruges CVE-2026-54229 som ‘springbræt’ til at eskalere til root-niveau. Med root-adgang kan angriberen installere bagdøre (permanente adgangsveje), stjæle alle data på serveren eller kryptere filerne med henblik på afpresning.
Ofte stillede spørgsmål
Hvad er et 'race condition'-angreb?
Et race condition-angreb udnytter det faktum at et computersystem udfører to handlinger næsten samtidigt, og at rækkefølgen af disse handlinger har betydning for sikkerheden. Forestil dig to løbere der begge forsøger at åbne den samme dør — den der når frem først, vinder adgang. Her udnytter angriberen det korte tidsvindue, hvor systemet er sårbart, til at snige sine egne instruktioner ind.
Kan nogen angribe os direkte fra internettet?
Nej — denne sårbarhed kræver at angriberen allerede har en brugerkonto på det berørte Linux-system. Det betyder at et direkte angreb udefra ikke er muligt med denne sårbarhed alene. Risikoen opstår hvis en anden sårbarhed eller et svagt kodeord allerede har givet en angriber adgang til systemet.
Bruges ABRT på alle Linux-servere?
Nej. ABRT (Automatic Bug Reporting Tool) er primært installeret på Red Hat Enterprise Linux (RHEL), CentOS og Fedora. Det er ikke standard på Ubuntu, Debian eller mange cloud-baserede Linux-distributioner. Tjek med din IT-leverandør om ABRT er aktiv på jeres specifikke servere.
Hvad sker der hvis vi deaktiverer ABRT?
ABRT bruges til automatisk at indsamle og rapportere information om programnedbrud, så udviklere kan fejlfinde. Det er et diagnosticeringsværktøj og ikke en kritisk del af serverens daglige drift. Deaktiverer du tjenesten midlertidigt, vil systemet stadig fungere normalt — du mister blot den automatiske fejlrapportering, indtil en sikkerhedsopdatering er tilgængelig.
Hvordan ved jeg om vi allerede er blevet angrebet?
Kig i systemlogfilerne (typisk
/var/log/messageseller viajournalctl) efter usædvanlige ejerskabsændringer på mapper under/var/spool/abrt/. Uventede ændringer i filrettigheder eller ejerskab til en upriviligeret bruger kan være et tegn. Kontakt en IT-sikkerhedsekspert hvis du er usikker.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
A race condition was found in the abrt-dbus D-Bus service’s ChownProblemDir method. ChownProblemDir opens the dump directory with DD_OPEN_READONLY and calls dd_chown to change ownership of all files to the caller’s uid, succeeding even while post-create event handlers hold a write lock. This allows an attacker to gain filesystem-level control of the dump directory while privileged event scripts are still running.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
