Dua celah keamanan yang mengancam privasi pengguna ditemukan di apport dan systemd-coredump—dua alat penting yang menangani pelaporan crash di sistem operasi Linux seperti Ubuntu, Red Hat Enterprise Linux, dan Fedora. Celah ini ditemukan oleh tim riset keamanan dari Qualys Threat Research Unit (TRU).

Dikenal dengan kode CVE-2025-5054 dan CVE-2025-4598, kedua celah tersebut merupakan jenis race condition—bug yang terjadi karena kesalahan urutan eksekusi—yang dapat dimanfaatkan oleh penyerang lokal untuk mengakses data sensitif dari sistem.

Menurut Saeed Abbasi, manajer produk di Qualys TRU, celah ini memungkinkan penyerang mengeksploitasi program dengan hak akses khusus (SUID) untuk membaca core dump, yang bisa berisi data rahasia.

Apa itu SUID?
SUID (Set User ID) adalah hak akses khusus yang memungkinkan sebuah program dijalankan dengan hak pengguna lain, biasanya root. Artinya, jika program ini crash, data yang terekam bisa sangat sensitif.

Canonical menjelaskan bahwa saat apport menganalisis crash, ia mencoba mendeteksi apakah proses tersebut berjalan dalam container. Jika penyerang berhasil memicu crash pada proses SUID dan cepat menggantinya dengan proses lain di lingkungan berbeda, maka apport bisa keliru dan menyalurkan core dump—berisi data dari proses asli—ke proses pengganti.

Red Hat menilai CVE-2025-4598 sebagai celah dengan tingkat keparahan sedang, karena cukup sulit untuk dieksploitasi. Penyerang harus memiliki akun lokal tak berprivilegi dan berhasil “menang” dalam kondisi race.

Red Hat menyarankan pengguna menjalankan perintah:

echo 0 > /proc/sys/fs/suid_dumpable

Perintah ini, bila dijalankan oleh root, akan menonaktifkan kemampuan sistem untuk menghasilkan core dump dari program SUID—sehingga mencegah eksploitasi, walaupun dengan konsekuensi kehilangan data debug saat terjadi crash.

Distribusi lain seperti Amazon Linux, Debian, dan Gentoo juga telah menerbitkan peringatan serupa. Menariknya, sistem Debian tidak terdampak CVE-2025-4598 secara default karena tidak menyertakan core dump handler kecuali pengguna memasang systemd-coredump secara manual. Ubuntu pun aman dari celah ini.

Qualys bahkan merilis kode proof-of-concept (PoC) untuk mendemonstrasikan bagaimana core dump dari proses unix_chkpwd yang crash bisa digunakan untuk mencuri hash password dari file /etc/shadow.

Canonical menegaskan bahwa dampak CVE-2025-5054 terbatas pada kebocoran memori dari proses SUID yang dijalankan. Meski begitu, kebocoran hash password tetap menjadi risiko yang perlu diwaspadai.

Saeed Abbasi mengingatkan, “Eksploitasi terhadap apport dan systemd-coredump bisa membahayakan kerahasiaan data secara serius—dari password, kunci enkripsi, hingga informasi pelanggan.”

Kerugiannya? Bisa meliputi downtime, kerusakan reputasi, bahkan pelanggaran regulasi. Karena itu, organisasi disarankan segera mengambil langkah proaktif: pasang pembaruan, aktifkan mitigasi, perketat kontrol akses, dan pantau sistem secara menyeluruh.