CVE-2026-54231: Injektion i libreport ABRT på Linux
Lokal sårbarhed i libreport lader en almindelig bruger manipulere fejlrapportfiler skrevet af root via systemd-loggen.
Hvad er det?
En sårbarhed i libreport — et hjælpeprogram til automatisk fejlrapportering på Linux — gør det muligt for en lokal bruger at snige uønsket indhold ind i fejlrapporter. Når et program crasher, henter libreport automatisk log-oplysninger fra systemd-journalen og gemmer dem i en fejlrapportmappe. Problemet er, at programmet ikke filtrerer særlige kontroltegn (f.eks. linjeskift) fra log-beskeder. En bruger kan derfor bevidst skrive vildledende beskeder i systemloggen og på den måde bestemme, hvad root (systemadministratoren) skriver til fejlrapportfilerne.
Hvem rammer det?
Sårbarheden rammer Linux-systemer — primært Red Hat-baserede distributioner som RHEL, Fedora og CentOS — der bruger libreport og ABRT (Automatic Bug Reporting Tool) til fejlhåndtering. Det kræver, at angriberen allerede har en lokal brugerkonto på systemet. Virksomheder med delte servere, udviklingsmiljøer eller systemer hvor flere brugere kan logge ind lokalt, er særligt eksponerede.
Hvad kan ske?
En angriber med en almindelig brugerkonto kan manipulere indholdet af fejlrapportfiler, som root skriver til disken. Det kan bruges til at forfalske fejlrapporter, skjule spor af ondsindet aktivitet eller — i kombination med andre sårbarheder — potentielt eskalere rettigheder (få administratoradgang). Angriberen kan ikke direkte læse fortrolige data eller lukke systemet ned via denne sårbarhed alene, men integriteten af systemets fejlrapporteringsdata kompromitteres.
Hvor alvorligt er det?
CVSS-scoren er 5,5 ud af 10 (moderat). Sårbarheden kræver fysisk eller logisk adgang til systemet som en almindelig bruger — den kan ikke udnyttes eksternt via internettet alene. Påvirkningen er primært på integritet (I=HIGH): data kan forfalskes. Der er ingen direkte risiko for datalæk (C=NONE) eller nedbrud (A=NONE). Alvorligheden stiger markant, hvis din virksomhed har brugere med lavt tillidsniveau, der har adgang til jeres Linux-servere.
Hvad gør jeg nu?
Følg disse trin for at beskytte dine systemer:
- Identificér eksponerede systemer: Find ud af, om I bruger libreport og ABRT på jeres Linux-servere. Kør kommandoen
rpm -q libreport abrtpå Red Hat-baserede systemer. - Opdatér libreport: Tjek om din Linux-distribution (f.eks. RHEL eller Fedora) har udsendt en sikkerhedsopdatering og installér den hurtigst muligt via jeres pakkehåndtering.
- Begræns lokale brugeradgange: Gennemgå hvem der har lokal adgang til jeres servere. Fjern unødvendige brugerkonti eller begræns rettighederne til kun det nødvendige.
- Overvej at deaktivere ABRT: Hvis I ikke aktivt bruger automatisk fejlrapportering, kan I midlertidigt deaktivere ABRT-tjenesten som en forebyggende foranstaltning, indtil en patch er på plads.
- Overvåg systemloggen: Hold øje med usædvanlige log-aktiviteter, der kan indikere forsøg på udnyttelse af sårbarheden.
Opdatér inden for 30 dage
Vi anbefaler, at du inden for de næste 30 dage opdaterer libreport på alle berørte Linux-systemer, så snart din distribution udsender en officiel patch. Mens du venter, bør du som minimum gennemgå og stramme op på, hvem der har lokal adgang til jeres servere — jo færre brugere med adgang, jo lavere er risikoen. Har I ikke et aktuelt behov for automatisk fejlrapportering via ABRT, er det en god idé at deaktivere tjenesten midlertidigt.
Tidslinje
Konkrete eksempler
Forfalskede fejlrapporter skjuler angrebsspor
En medarbejder med en standard brugerkonto på en delt Linux-server skriver bevidst en syslog-besked med skjulte linjeskift-tegn, der får det til at se ud som om, der er tastet normale log-linjer. Når et program crasher og ABRT kører, kopierer libreport disse manipulerede linjer direkte ind i fejlrapporten. Systemadministratoren, der efterfølgende gennemgår rapporten, ser et forvansket billede af hændelsesforløbet — og angribers tidligere aktiviteter er sværere at opdage.
Forberedelse til rettighedseskalering
En angriber, der allerede har kompromitteret en lavprivilegeret brugerkonto via f.eks. phishing, bruger denne sårbarhed til at injicere indhold i fejlrapportfiler skrevet af root. Hvis disse filer efterfølgende behandles af et andet automatiseret script eller program med administratorrettigheder, kan det injicerede indhold udløse yderligere skade — f.eks. ændre konfigurationsfiler eller plante bagdøre.
Manipulation af revisionslog på delt udviklingsserver
På en virksomheds interne udviklingsserver, hvor flere udviklere deler adgang, injicerer én bruger falske log-poster i systemd-journalen. Når næste programnedbrud opstår, skrives de falske poster til ABRT’s dump-mappe. En revisor eller IT-ansvarlig, der gennemgår logfilerne efter en sikkerhedshændelse, kan blive vildledt af de manipulerede data og drage forkerte konklusioner om hændelsesforløbet.
Ofte stillede spørgsmål
Kan vi blive angrebet udefra via internettet?
Nej, ikke direkte. Angriberen skal have en eksisterende brugerkonto på det berørte system (lokal adgang). Sårbarheden kan ikke udnyttes alene via internettet, men hvis en angriber f.eks. allerede har kompromitteret én konto på jeres server, kan denne sårbarhed bruges til at gøre mere skade.
Hvad er libreport og ABRT, og bruger vi dem?
Libreport er et bibliotek, der hjælper Linux-systemer med at indsamle og rapportere fejloplysninger, når et program crasher. ABRT (Automatic Bug Reporting Tool) er det overordnede system, der bruger libreport. De er typisk installeret som standard på Red Hat-baserede systemer som RHEL, Fedora og CentOS. Kør
rpm -q libreport abrti terminalen for at tjekke, om de er installeret på jeres servere.Hvad menes der med 'kontroltegn' og 'injektion'?
Kontroltegn er usynlige tegn i tekst — f.eks. linjeskift — der kan ændre, hvordan teksten formateres eller fortolkes. ‘Injektion’ betyder, at en angriber sniger sådanne tegn ind i en besked i systemloggen. Når libreport så kopierer den besked til en fejlrapportfil uden at rense den, følger de skjulte tegn med og kan ændre filens indhold på uventede måder.
Er vores data og kundeinformationer i fare?
Ikke direkte via denne sårbarhed. Den giver ikke adgang til at læse fortrolige filer eller databaser. Risikoen er primært, at en angriber kan forfalske fejlrapporter og skjule sine spor. Kombineret med andre sårbarheder kan det dog i teorien bruges som et skridt mod at opnå administratoradgang — derfor er det stadig vigtigt at tage hånd om det.
Hvad sker der, hvis vi ikke opdaterer med det samme?
Hvis I ikke opdaterer, forbliver risikoen for manipulation af fejlrapportfiler til stede, så længe brugere med potentielt skadelige hensigter har lokal adgang til jeres systemer. I mellemtiden kan I reducere risikoen ved at begrænse antallet af lokale brugerkonti og overveje at deaktivere ABRT-tjenesten midlertidigt.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
A content injection vulnerability was found in the ABRT post-create event handler scripts in libreport. The event script queries the systemd journal for log entries matching the crashed process and writes the results to files in the dump directory without sanitizing embedded control characters. A local user can inject arbitrary content into the journal output by embedding newline characters in syslog messages, controlling the content that root writes to dump directory files.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
