CVE-2026-54228: Sårbarhed i abrt-dbus på Linux
Sårbarhed i fejlrapporteringstjeneste på Linux giver lokale brugere mulighed for at skrive filer med root-rettigheder.
Hvad er det?
CVE-2026-54228 er en sårbarhed i abrt-dbus, som er en systemtjeneste på Linux der automatisk indsamler og rapporterer programnedbrud. Fejlen er af typen TOCTOU (time-of-check time-of-use) — på dansk betyder det, at der er et lille tidsvindue mellem to operationer, som en angriber kan udnytte. Konkret sker det i tjenestens SetElement-funktion: Mellem det tidspunkt, hvor en nedbrudsmappen oprettes, og det tidspunkt, hvor systemet validerer indholdet, kan en lokal bruger snige vilkårlige filer ind i en mappe, der normalt kun må skrives til af systemets administrator (root). Det giver mulighed for at omgå sikkerhedstjek og få upakket software til at overleve systemets valideringsproces.
Hvem rammer det?
Sårbarheden rammer systemer der kører Linux med abrt-dbus installeret — typisk Red Hat-baserede distributioner som RHEL, CentOS, AlmaLinux og Fedora, hvor ABRT (Automatic Bug Reporting Tool) ofte er installeret som standard. Risikoen er til stede, hvis din virksomhed bruger Linux-servere eller Linux-arbejdsstationer med denne tjeneste aktiv. Angrebet kræver, at angriberen allerede har adgang til en lokal brugerkonto på systemet — det kan fx være en medarbejder, en kompromitteret konto eller en anden proces der kører med begrænsede rettigheder.
Hvad kan ske?
En angriber med en almindelig brugerkonto på systemet kan udnytte sårbarheden til at skrive vilkårlige filer ind i root-ejede mapper. Det kan føre til:
- Rettighedseskalering — angriberen opnår administrator- eller root-rettigheder på systemet (fuld kontrol).
- Omgåelse af pakkehåndtering — skadelig kode kan indsættes uden at blive opdaget af systemets normale sikkerhedstjek.
- Kompromittering af fortrolighed, integritet og tilgængelighed — alle tre CVSS CIA-kategorier er vurderet til HIGH, hvilket betyder, at et vellykket angreb kan give adgang til alle data, mulighed for at ændre alt og potentielt lukke systemer ned.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 7.8 — Alvorlig. Angrebet kræver kun lav kompleksitet, begrænsede rettigheder og ingen interaktion fra andre brugere. Det betyder, at en angriber med selv en simpel brugerkonto relativt nemt kan udnytte fejlen. Da angrebet er lokalt (kræver adgang til maskinen), er det ikke direkte tilgængeligt fra internettet — men kombineret med fx en phishing-hændelse, et svagt kodeord eller en anden sårbarhed der giver adgang, er risikoen meget konkret. Særligt i miljøer med delte Linux-servere eller flere medarbejdere med systemadgang bør dette tages alvorligt.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Identificér berørte systemer: Tjek om dine Linux-servere eller -arbejdsstationer kører abrt eller abrt-dbus. Det kan du gøre ved at køre kommandoen
rpm -q abrt-dbusi terminalen på Red Hat-baserede systemer. - Opdatér eller patch: Tjek om din Linux-distribution har udsendt en sikkerhedsopdatering til abrt-dbus og installér den hurtigst muligt via din pakkehåndtering (fx
dnf update abrtpå RHEL/Fedora). - Deaktivér tjenesten midlertidigt: Hvis ingen opdatering er tilgængelig endnu, og du ikke har brug for automatisk fejlrapportering, kan du midlertidigt slå abrt-dbus fra med
systemctl disable --now abrt-dbus. - Begræns lokal adgang: Sørg for at kun nødvendige medarbejdere har lokale brugerkonti på kritiske Linux-systemer, og at kodeord er stærke og unikke.
- Monitorér for mistænkelig aktivitet: Hold øje med uventede filoprettelser i systemdirektorier og usædvanlig aktivitet fra lokale brugerkonti.
- Kontakt din IT-leverandør: Hvis du er i tvivl om din eksponering, så kontakt din IT-driftspartner eller Auroa for en vurdering.
Opdatér inden for 7 dage
Auroa anbefaler, at du som minimum kortlægger dine Linux-systemer og kontrollerer om abrt-dbus er installeret og aktiv. Hvis du ikke aktivt bruger automatisk fejlrapportering, bør du deaktivere tjenesten straks som en forebyggende foranstaltning. Så snart en officiel patch er tilgængelig fra din Linux-distributions leverandør, bør den installeres uden forsinkelse. Har du brug for hjælp til at vurdere din eksponering, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Intern medarbejder eskalerer rettigheder
En medarbejder med en almindelig brugerkonto på en delt Linux-server opdager sårbarheden. Vedkommende udløser et programnedbrud og udnytter det korte tidsvindue i abrt-dbus til at kalde SetElement og skrive en ondsindet fil ind i root-ejet mappe. Filen overlever post-create-valideringen og giver medarbejderen fuld systemadgang — uden at IT-afdelingen opdager det.
Angriber kombinerer sårbarheder
En angriber har via en phishing-mail fået fat i loginoplysningerne til en medarbejders Linux-konto. Med denne adgang bruger angriberen CVE-2026-54228 til at eskalere fra en lavprivilegeret brugerkonto til root på serveren. Derfra kan angriberen installere bagdøre, kopiere følsomme data eller kryptere filer i forbindelse med et ransomware-angreb.
Kompromitteret webserver-konto som springbræt
En webapplikation kørende på en Linux-server bliver kompromitteret via en anden sårbarhed, og angriberen opnår adgang med webserverens begrænsede brugerkonto. Derfra udnytter angriberen TOCTOU-fejlen i abrt-dbus til at skrive skadelige filer og opnå root-adgang til hele serveren — og dermed adgang til alle virksomhedens data og systemer på det netværkssegment.
Ofte stillede spørgsmål
Kan en angriber udnytte dette udefra via internettet?
Nej, ikke direkte. Angrebsvektoren er lokal, hvilket betyder at angriberen skal have en brugerkonto og fysisk eller logisk adgang til systemet i forvejen. Men hvis en angriber fx har fået adgang via phishing, en eksponeret fjernadgangsløsning (som SSH eller RDP) eller en anden sårbarhed, kan denne fejl bruges til at eskalere til fuld systemkontrol.
Bruger vi overhovedet abrt-dbus?
abrt-dbus er en del af ABRT (Automatic Bug Reporting Tool), som typisk er forudinstalleret på Red Hat Enterprise Linux (RHEL), CentOS, AlmaLinux, Rocky Linux og Fedora. Mange virksomheder har det installeret uden at vide det. Du kan tjekke det med kommandoen
rpm -q abrt-dbusi terminalen — beder din IT-ansvarlige om at gennemføre dette tjek på alle relevante servere.Hvad er en TOCTOU-sårbarhed?
TOCTOU står for time-of-check time-of-use og beskriver en situation, hvor et program tjekker en betingelse (fx om en fil er sikker), men så sker der noget i det korte tidsrum inden betingelsen faktisk bruges. En angriber kan i det tidsvindue manipulere tilstanden og narre programmet til at gøre noget utilsigtet. Det svarer lidt til at komme ind i en butik efter at alarmen er slukket, men inden vagtmanden er nået frem.
Mister vi noget funktionalitet hvis vi deaktiverer abrt-dbus?
abrt-dbus bruges til automatisk indsamling og rapportering af programnedbrud til Red Hat eller internt. For de fleste SMV’er er dette ikke en forretningskritisk funktion. Deaktiverer du tjenesten, vil systemet blot ikke automatisk indsamle nedbrudsinformation — det påvirker ikke serverens øvrige drift eller dine forretningsapplikationer.
Er der en officiel patch tilgængelig nu?
CVE’en blev offentliggjort den 13. juni 2026, og en officiel patch var på offentliggørelsestidspunktet endnu ikke bekræftet frigivet. Følg med på din Linux-distributions sikkerhedssider (fx Red Hat Security Advisories på access.redhat.com) og installér opdateringen så snart den er tilgængelig. I mellemtiden kan deaktivering af tjenesten fungere som en midlertidig foranstaltning.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
A time-of-check time-of-use (TOCTOU) race condition was found in the abrt-dbus D-Bus service’s SetElement method. Between dump directory creation and post-create event execution, any local user can call SetElement to write arbitrary text files into the root-owned dump directory, bypassing package validation and allowing crashes of unpackaged binaries to survive post-create processing.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
