CVE-2026-54229
Alvorlig

CVE-2026-54229: Sårbarhed i ABRT på Linux-servere

Fejl i Linux-fejlrapporteringsværktøj giver angriber mulighed for at overtage systemfiler via et timing-angreb.

CVSS Score
7
Offentliggjort
13/06/2026
Patch-status
in_development
Exploit
theoretical
Tidsfrist
Opdatér inden for 30 dage

Hvad er det?

CVE-2026-54229 er en sårbarhed i abrt-dbus, en del af ABRT (Automatic Bug Reporting Tool), som bruges på Linux-systemer — særligt Red Hat- og Fedora-baserede servere — til automatisk at registrere og rapportere programnedbrud.

Fejlen ligger i en metode kaldet ChownProblemDir, som ændrer ejerskabet af en mappe med fejldata. Problemet er, at metoden gør dette på præcis det forkerte tidspunkt: mens systemet stadig arbejder med mappen med forhøjede rettigheder. En angriber med begrænset adgang til systemet kan udnytte dette lille vindue til at snige sig ind og overtage kontrollen over mappen — et såkaldt race condition-angreb.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer der driver Linux-servere baseret på Red Hat Enterprise Linux (RHEL), CentOS, Fedora eller kompatible distributioner, hvor ABRT-pakken er installeret og aktiv.

Det er særligt relevant hvis:

  • Du har interne Linux-servere til fx webhosting, databaser eller forretningssystemer
  • Du bruger en managed server hos en hostingudbyder med RHEL/CentOS
  • Din IT-leverandør administrerer Linux-miljøer på dine vegne

Windows-brugere og rene cloud-tjenester uden Linux-backend er ikke berørt.

Hvad kan ske?

Hvis en angriber allerede har en begrænset brugerkonto på dit Linux-system — fx via et kompromitteret servicekonti eller en anden sårbarhed — kan vedkommende udnytte denne fejl til at:

  • Overtage systemfiler: Angriberen kan ændre ejerskabet af en priviligeret mappe og de filer den indeholder, så de tilhører angriberens konto
  • Eskalere rettigheder: Med kontrol over disse filer kan angriberen potentielt afvikle ondsindet kode med systemrettigheder (root-niveau)
  • Læse fortrolige data: Fejlrapporter kan indeholde hukommelsesdumps (snapshots af hvad systemet kørte) med adgangskoder, tokens eller kundedata
  • Sabotere systemet: Filer kan ændres eller slettes, hvilket kan føre til nedbrud eller datatab

Bemærk at angriberen skal have lokal adgang til systemet — det er ikke muligt at udnytte fejlen direkte fra internettet.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 7.0 — Alvorlig. Det betyder at konsekvenserne ved en vellykket udnyttelse er meget alvorlige: fuld kompromittering af fortrolighed, integritet og tilgængelighed på det berørte system.

Det dæmpende element er, at angrebet kræver:

  • Lokal adgang til systemet (angriberen skal allerede have en brugerkonto)
  • Høj angrebskompleksitet — timingen skal ramme et præcist vindue, hvilket kræver teknisk snilde og evt. flere forsøg

Disse faktorer gør det sværere at udnytte end fjernangreb, men det reducerer ikke alvoren af konsekvenserne, hvis det lykkes. Kombineret med andre sårbarheder — fx en svag adgangskode eller en eksponeret SSH-adgang — kan denne fejl være det afgørende skridt mod fuld systemkompromittering.

Hvad gør jeg nu?

Følg disse trin for at beskytte dit system mod CVE-2026-54229:

  1. Find ud af om du er berørt: Spørg din IT-ansvarlige eller leverandør om jeres Linux-servere kører ABRT (abrt-dbus-pakken). På RHEL/CentOS kan man tjekke ved at køre kommandoen rpm -q abrt.
  2. Opdatér straks: Tjek om Red Hat eller din Linux-distribution har udsendt en sikkerhedsopdatering til abrt. Anvend opdateringen via systemets pakkehåndtering (yum update abrt eller dnf update abrt).
  3. Overvej midlertidigt at deaktivere ABRT: Hvis en patch ikke er tilgængelig endnu, kan du deaktivere abrt-dbus-tjenesten midlertidigt. ABRT er et diagnosticeringsværktøj — ikke kritisk for daglig drift.
  4. Gennemgå brugeradgange: Sørg for at kun betroede brugere har lokal adgang til jeres Linux-servere. Fjern unødvendige konti og tjek at SSH-adgang kræver stærke nøgler eller MFA (multifaktorgodkendelse).
  5. Kontakt jeres IT-leverandør: Hvis I ikke selv administrerer jeres servere, så kontakt jeres leverandør og bed om bekræftelse på at denne sårbarhed er håndteret.
Tidsfrist

Opdatér inden for 30 dage

Sådan ser Auroa det

Selvom angrebet kræver lokal adgang og er teknisk kompliceret at gennemføre, er konsekvenserne alvorlige nok til at I bør handle hurtigt. Vi anbefaler at I straks tjekker om ABRT er aktivt på jeres servere og følger med i opdateringer fra jeres Linux-udbyder — en patch forventes snart.

I mellemtiden bør I stramme op på adgangsstyringen til jeres Linux-miljøer: begræns hvem der kan logge ind, aktivér logning af alle login-forsøg, og overvej at deaktivere abrt-dbus-tjenesten hvis den ikke er nødvendig for jeres daglige drift.

Tidslinje

13/06/2026
CVE offentliggjort i NVD
Sårbarheden CVE-2026-54229 blev officielt registreret og offentliggjort i NVDs nationale sårbarhedsdatabase med en CVSS-score på 7.0 (Alvorlig).
13/06/2026
Ingen kendte exploits på offentliggørelsestidspunktet
Ved offentliggørelsen er der ikke registreret aktive angreb eller offentliggjorte proof-of-concept-koder. Sårbarheden betragtes som teoretisk på nuværende tidspunkt.
13/06/2026
Afventer officiel patch fra Red Hat
En sikkerhedsopdatering til abrt-pakken er endnu ikke udsendt. Red Hat og distributionsvedligeholdere forventes at udsende en patch i de kommende uger. Følg Red Hat Security Advisories (RHSA) for opdateringer.

Konkrete eksempler

Rettigheds-eskalering via fejlrapporteringsmappe

En angriber har fået adgang til en begrænset brugerkonto på en RHEL-server — fx fordi en medarbejder genbrugte et svagt kodeord. Angriberen kører et script der gentagne gange forsøger at time et kald til ChownProblemDir præcis mens systemets fejlhåndteringsscript kører med forhøjede rettigheder. Lykkes timingen, overtager angriberen ejerskabet af fejlrapporteringsmappen og kan placere ondsindet kode, der efterfølgende afvikles med root-rettigheder.

Udtræk af følsomme data fra hukommelsesdumps

Et program på serveren crasher og ABRT gemmer automatisk et hukommelsesdump (en kopi af hvad programmet kørte med på nedbrudstidspunktet) i en beskyttet mappe. En angriber udnytter sårbarheden til at overtage ejerskabet af denne mappe og læse dumpfilen, som kan indeholde adgangskoder, API-nøgler eller persondata der befandt sig i programmets hukommelse på nedbrudstidspunktet.

Kombinationsangreb med anden sårbarhed

En angriber udnytter en separat sårbarhed i en webapplikation til at få en begrænset shell-adgang på serveren. Herefter bruges CVE-2026-54229 som ‘springbræt’ til at eskalere til root-niveau. Med root-adgang kan angriberen installere bagdøre (permanente adgangsveje), stjæle alle data på serveren eller kryptere filerne med henblik på afpresning.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
HIGH
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-362

Original NVD-beskrivelse (engelsk)

A race condition was found in the abrt-dbus D-Bus service’s ChownProblemDir method. ChownProblemDir opens the dump directory with DD_OPEN_READONLY and calls dd_chown to change ownership of all files to the caller’s uid, succeeding even while post-create event handlers hold a write lock. This allows an attacker to gain filesystem-level control of the dump directory while privileged event scripts are still running.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7
Visning
Hurtige fakta
CVE-ID
CVE-2026-54229
Offentliggjort
13/06/2026
Sidst opdateret
13/06/2026
Exploit-status
theoretical
Patch-status
in_development
Tidsfrist
Opdatér inden for 30 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.