En el nucli Linux S'ha identificat una vulnerabilitat similar a Copy Fail, Dirty Frag i Fragnesia, que permet a un usuari sense privilegis obtenir privilegis de root sobreescrivint dades a la memòria cau de la pàgina. La vulnerabilitat s'ha anomenat en clau DirtyDecrypt (el problema també es coneix com a DirtyCBC). Hi ha disponible un prototip d'exploit.
La descripció de l'exploit no esmenta un identificador CVE, sinó que només indica que els investigadors van descobrir el problema el 9 de maig i després el van informar als desenvolupadors del nucli, que van respondre que el seu descobriment duplicava un altre informe sobre una vulnerabilitat ja corregida. Com que el nucli ja inclou un pegat amb la correcció, els investigadors van decidir publicar l'exploit que van desenvolupar. A jutjar per la descripció de l'exploit, explota la vulnerabilitat CVE-2026-31635, una correcció per a la qual es va acceptar al nucli a l'abril i es va incloure a la branca 7.0.0 i a la versió 6.18.23 publicada el 18 d'abril. El problema ha estat present des del nucli 6.16.
Igual que amb la sèrie de vulnerabilitats Dirty Frag, existeix una nova vulnerabilitat al controlador RxRPC, que implementa la família de sòcols AF_RXRPC i el protocol RPC del mateix nom, executant-se sobre UDP. El problema està causat per un error en la comprovació de la mida de les dades a la funció rxgk_verify_response(). En lloc de comprovar "if (auth_len > len)", el codi especificava "if (auth_len < len)", cosa que provocava que es passessin dades més grans del permès a la funció rxgk_decrypt_skb(). Quan s'executava rxgk_decrypt_skb(), les dades es desxifraven inserint directament els canvis a la memòria cau de la pàgina per evitar un emmagatzematge innecessari. A causa de la comprovació de mida incorrecta, era possible sobreescriure les dades de la memòria cau de la pàgina en un offset especificat.
L'explotació de la vulnerabilitat consisteix a llegir un fitxer de programa amb el senyalador root suid (per assegurar la seva ubicació a la memòria cau de la pàgina) i substituir part del codi del programa a la memòria cau de la pàgina pel codi per iniciar /usr/bin/sh. L'execució posterior del programa farà que la còpia modificada de la memòria cau de la pàgina es carregui a la memòria, en lloc del fitxer executable original de la unitat. L'explotació admet l'ús de "/usr/bin/su", "/bin/su", "/usr/bin/mount", "/usr/bin/passwd" i "/usr/bin/chsh".
Per explotar aquesta vulnerabilitat, l'opció CONFIG_RXGK ha d'estar habilitada durant la compilació del nucli i el mòdul del nucli rxrpc.ko ha d'estar disponible per a la càrrega automàtica (no es compila en alguns sistemes). L'estat de les correccions de vulnerabilitats a les distribucions es pot avaluar en aquestes pàgines: Debian, Ubuntu, SUSE/openSUSE, RHEL, Arch, Fedora. Com a solució alternativa, podeu bloquejar la càrrega del mòdul del nucli rxrpc:
sh -c "printf 'instal·la rxrpc /bin/false\n' > /etc/modprobe.d/dirtydecrypt.conf; rmmod rxrpc 2>/dev/null; true"
A més, podeu observar la publicació a la llista de correu dels desenvolupadors del nucli Linux Pegats que deshabiliten completament les optimitzacions a l'API de xifratge (AF_ALG) que utilitzen accés directe a la memòria cau de la pàgina en desxifrar amb els algoritmes "skcipher" i "aead". Aquestes optimitzacions eliminen l'emmagatzematge intermedi de dades innecessari, però introdueixen el risc d'introduir vulnerabilitats greus. S'espera que la seva desactivació només suposi una petita penalització de rendiment a causa de l'operació de còpia addicional a una memòria intermèdia separada. Els pegats han estat acceptats pel mantenidor del subsistema de l'API de xifratge i s'inclouen a la branca "cryptodev", on s'estan desenvolupant funcions per a la seva inclusió en futures versions del nucli. Linux.
Font: opennet.ru
