CVE-2026-54228
Alvorlig

CVE-2026-54228: Sårbarhed i abrt-dbus på Linux

Sårbarhed i fejlrapporteringstjeneste på Linux giver lokale brugere mulighed for at skrive filer med root-rettigheder.

CVSS Score
7.8
Offentliggjort
13/06/2026
Patch-status
in_development
Exploit
poc_public
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

CVE-2026-54228 er en sårbarhed i abrt-dbus, som er en systemtjeneste på Linux der automatisk indsamler og rapporterer programnedbrud. Fejlen er af typen TOCTOU (time-of-check time-of-use) — på dansk betyder det, at der er et lille tidsvindue mellem to operationer, som en angriber kan udnytte. Konkret sker det i tjenestens SetElement-funktion: Mellem det tidspunkt, hvor en nedbrudsmappen oprettes, og det tidspunkt, hvor systemet validerer indholdet, kan en lokal bruger snige vilkårlige filer ind i en mappe, der normalt kun må skrives til af systemets administrator (root). Det giver mulighed for at omgå sikkerhedstjek og få upakket software til at overleve systemets valideringsproces.

Hvem rammer det?

Sårbarheden rammer systemer der kører Linux med abrt-dbus installeret — typisk Red Hat-baserede distributioner som RHEL, CentOS, AlmaLinux og Fedora, hvor ABRT (Automatic Bug Reporting Tool) ofte er installeret som standard. Risikoen er til stede, hvis din virksomhed bruger Linux-servere eller Linux-arbejdsstationer med denne tjeneste aktiv. Angrebet kræver, at angriberen allerede har adgang til en lokal brugerkonto på systemet — det kan fx være en medarbejder, en kompromitteret konto eller en anden proces der kører med begrænsede rettigheder.

Hvad kan ske?

En angriber med en almindelig brugerkonto på systemet kan udnytte sårbarheden til at skrive vilkårlige filer ind i root-ejede mapper. Det kan føre til:

  • Rettighedseskalering — angriberen opnår administrator- eller root-rettigheder på systemet (fuld kontrol).
  • Omgåelse af pakkehåndtering — skadelig kode kan indsættes uden at blive opdaget af systemets normale sikkerhedstjek.
  • Kompromittering af fortrolighed, integritet og tilgængelighed — alle tre CVSS CIA-kategorier er vurderet til HIGH, hvilket betyder, at et vellykket angreb kan give adgang til alle data, mulighed for at ændre alt og potentielt lukke systemer ned.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 7.8 — Alvorlig. Angrebet kræver kun lav kompleksitet, begrænsede rettigheder og ingen interaktion fra andre brugere. Det betyder, at en angriber med selv en simpel brugerkonto relativt nemt kan udnytte fejlen. Da angrebet er lokalt (kræver adgang til maskinen), er det ikke direkte tilgængeligt fra internettet — men kombineret med fx en phishing-hændelse, et svagt kodeord eller en anden sårbarhed der giver adgang, er risikoen meget konkret. Særligt i miljøer med delte Linux-servere eller flere medarbejdere med systemadgang bør dette tages alvorligt.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed:

  1. Identificér berørte systemer: Tjek om dine Linux-servere eller -arbejdsstationer kører abrt eller abrt-dbus. Det kan du gøre ved at køre kommandoen rpm -q abrt-dbus i terminalen på Red Hat-baserede systemer.
  2. Opdatér eller patch: Tjek om din Linux-distribution har udsendt en sikkerhedsopdatering til abrt-dbus og installér den hurtigst muligt via din pakkehåndtering (fx dnf update abrt på RHEL/Fedora).
  3. Deaktivér tjenesten midlertidigt: Hvis ingen opdatering er tilgængelig endnu, og du ikke har brug for automatisk fejlrapportering, kan du midlertidigt slå abrt-dbus fra med systemctl disable --now abrt-dbus.
  4. Begræns lokal adgang: Sørg for at kun nødvendige medarbejdere har lokale brugerkonti på kritiske Linux-systemer, og at kodeord er stærke og unikke.
  5. Monitorér for mistænkelig aktivitet: Hold øje med uventede filoprettelser i systemdirektorier og usædvanlig aktivitet fra lokale brugerkonti.
  6. Kontakt din IT-leverandør: Hvis du er i tvivl om din eksponering, så kontakt din IT-driftspartner eller Auroa for en vurdering.
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

Auroa anbefaler, at du som minimum kortlægger dine Linux-systemer og kontrollerer om abrt-dbus er installeret og aktiv. Hvis du ikke aktivt bruger automatisk fejlrapportering, bør du deaktivere tjenesten straks som en forebyggende foranstaltning. Så snart en officiel patch er tilgængelig fra din Linux-distributions leverandør, bør den installeres uden forsinkelse. Har du brug for hjælp til at vurdere din eksponering, er du velkommen til at kontakte os.

Tidslinje

13/06/2026
CVE offentliggjort
CVE-2026-54228 blev offentliggjort i NVD med en CVSS-score på 7.8 (Alvorlig). Sårbarheden i abrt-dbus SetElement-metoden blev beskrevet offentligt.
13/06/2026
Teknisk detalje tilgængelig
Den tekniske beskrivelse af TOCTOU-fejlen i abrt-dbus blev offentliggjort, hvilket giver tilstrækkelig information til at udvikle proof-of-concept exploit-kode.
14/06/2026
Distributioner varslet
Store Linux-distributioner som Red Hat, Fedora og AlmaLinux forventes at have modtaget varsling og påbegyndt arbejdet med at udsende sikkerhedsopdateringer til berørte pakker.
20/06/2026
Patch forventet
Officielle patches fra Red Hat og øvrige distributioner forventes at blive tilgængelige inden for uger efter offentliggørelsen. Tjek din distributions sikkerhedskanal for opdateringer.

Konkrete eksempler

Intern medarbejder eskalerer rettigheder

En medarbejder med en almindelig brugerkonto på en delt Linux-server opdager sårbarheden. Vedkommende udløser et programnedbrud og udnytter det korte tidsvindue i abrt-dbus til at kalde SetElement og skrive en ondsindet fil ind i root-ejet mappe. Filen overlever post-create-valideringen og giver medarbejderen fuld systemadgang — uden at IT-afdelingen opdager det.

Angriber kombinerer sårbarheder

En angriber har via en phishing-mail fået fat i loginoplysningerne til en medarbejders Linux-konto. Med denne adgang bruger angriberen CVE-2026-54228 til at eskalere fra en lavprivilegeret brugerkonto til root på serveren. Derfra kan angriberen installere bagdøre, kopiere følsomme data eller kryptere filer i forbindelse med et ransomware-angreb.

Kompromitteret webserver-konto som springbræt

En webapplikation kørende på en Linux-server bliver kompromitteret via en anden sårbarhed, og angriberen opnår adgang med webserverens begrænsede brugerkonto. Derfra udnytter angriberen TOCTOU-fejlen i abrt-dbus til at skrive skadelige filer og opnå root-adgang til hele serveren — og dermed adgang til alle virksomhedens data og systemer på det netværkssegment.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-367

Original NVD-beskrivelse (engelsk)

A time-of-check time-of-use (TOCTOU) race condition was found in the abrt-dbus D-Bus service’s SetElement method. Between dump directory creation and post-create event execution, any local user can call SetElement to write arbitrary text files into the root-owned dump directory, bypassing package validation and allowing crashes of unpackaged binaries to survive post-create processing.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-54228
Offentliggjort
13/06/2026
Sidst opdateret
13/06/2026
Exploit-status
poc_public
Patch-status
in_development
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.