Objavljen je dokaz koncepta za ranjivost. DirtyDecrypt, također poznat kao DirtyCBC, što omogućava lokalnom neprivilegovanom korisniku da dobije root privilegije na nekim sistemima LinuxProblem je u kodu. rxgk podsistemi RxRPC i povezano je sa pisanjem u keš memoriju stranice zbog nedostajuće provjere kopiranja prilikom pisanja u funkciji rxgk_decrypt_skb(). PoC je objavljen 18. maja 2026. godine od strane BleepingComputer-a; sam PoC je objavljen u V12 repozitoriji tima.
RxRPC je mrežni protokol kernela. Linux preko UDP-a, omogućavajući pouzdan transport za udaljene operacije. Dokumentacija kernela posebno navodi da AFS — Andrew File System je primjer aplikacije koja koristi RxRPC, a sam protokol podržava pregovore o sigurnosti veze. Tu dolazi do izražaja RxGK, koji se koristi za sigurni način rada RxRPC/AFS-a.
Prema opisu V12, DirtyDecrypt je još jedna varijanta klase ranjivosti. Neuspjeh kopiranja / Prljavi fragment / FragnesiaSvi se vrte oko slične ideje: nepravilna manipulacija memorijom kernela, keš memorijom stranica i baferima može omogućiti neprivilegovanom lokalnom procesu da utiče na podatke koji bi trebali biti nepisivi. U slučaju DirtyDecrypt-a, ovo je "rxgk pagecache write" zbog nedostatka COW zaštite u rxgk_decrypt_skb().
V12 tim tvrdi da je otkrio i prijavio problem. 9 maj 2026 godina, ali su održavatelji kernela odgovorili da se radi o duplikatu već ispravljene greške. Istraživači su zatim objavili dokaz koncepta, tvrdeći da se ispravka već nalazi u glavnom kernelu.
Situacija sa CVE-ima ne čini se sasvim jednostavnom. BleepingComputer izvještava da u vrijeme objavljivanja ne postoji zaseban službeni CVE za ime DirtyDecrypt, ali analitičar Will Dormann povezuje detalje koje je objavio V12 sa CVE-2026-31635, ispravljeno krajem aprila. NVD opisuje CVE-2026-31635 kao grešku u rxrpc: funkcija rxgk_verify_response() je neispravno provjeravala dužinu autentifikatora RESPONSE, što je moglo rezultirati prosljeđivanjem predugog autentifikatora funkciji rxgk_decrypt_skb() i uzrokovanjem neuspjeha koda BUG_ON(len).
To jest, javno dostupne publikacije povezuju DirtyDecrypt sa CVE-2026-31635, ali formalni opis CVE u NVD-u trenutno izgleda uži i prvenstveno se odnosi na grešku provjere dužine u rxrpc, a ne direktno na alias DirtyDecrypt/DirtyCBC kao zaseban unos. Stoga je ispravnije napisati: DirtyDecrypt je vjerovatno u skladu sa ili blisko povezan sa CVE-2026-31635., umjesto da tvrde da je to službeni naziv CVE-a.
Za rad je potreban kernel sa ovom omogućenom opcijom. CONFIG_RXGK, što uključuje RxGK podršku za AFS klijenta i mrežni transport. Ovo značajno sužava raspon pogođenih sistema: prvenstveno se odnosi na distribucije koje brzo prate uzvodni kernel, uključujući fedora, svod Linux и openSUSE TumbleweedBleepingComputer naglašava da je objavljeni V12 PoC testiran samo na Fedori i glavnom kernelu.
DirtyDecrypt se pojavio na pozadini čitavog niza sličnih proizvoda. Linux LPE ranjivosti. Prethodno otkrivene Kopiranje nije uspjelo u algif_aead, Prljavi Frag u mrežnim komponentama, a zatim Frannezija u XFRM-u ESP-u-TCP-u Microsoftu opisano Dirty Frag kao lokalna eskalacija privilegija putem komponenti esp4, esp6 i rxrpc, omogućavajući napadaču da dobije lokalni pristup i stekne uporište u sistemu.
Praktična opasnost od takvih grešaka je u tome što se često iskorištavaju nakon početnog proboja: na primjer, nakon kompromitovanja SSH računa, web ljuske, ranjivog kontejnera ili korisnika servisa s niskim privilegijama. Nakon što dobije root pristup, napadač može onemogućiti sigurnosne kontrole, čitati tajne, mijenjati logove, implementirati persistence i kretati se dalje kroz infrastrukturu.
Korisnicima potencijalno pogođenih distribucija s postupnim izdavanjem savjetuje se da instaliraju najnovija ažuriranja kernela. Za sisteme gdje trenutna ažuriranja nisu moguća, publikacije spominju privremena rješenja poput onemogućavanja nekorištenih rxrpc modula i srodnih komponenti. Međutim, takva zaobilazna rješenja mogu poremetiti AFS i neke IPsec/VPN scenarije, tako da ih treba primjenjivati tek nakon potvrde utjecaja na određeni sistem.
Za većinu desktop i serverskih instalacija, rizik je vjerovatno manji od neuspjelog kopiranja: DirtyDecrypt zahtijeva specifičnu konfiguraciju kernela i lokalno izvršavanje koda. Međutim, za Fedoru, Arch... Linux, openSUSE Tumbleweed i druge sisteme sa brzim ažuriranjima kernela, problem zaslužuje pažnju: više nije teorijski izvještaj, već ranjivost sa objavljenim dokazom koncepta i jasnim putem ka eskalaciji privilegija.
izvor: linux.org.ru
