Et proof-of-concept for sårbarheden er blevet offentliggjort. DirtyDecrypt, også kendt som DirtyCBC, hvilket giver en lokal, ikke-privilegeret bruger mulighed for at få root-rettigheder på nogle systemer LinuxProblemet ligger i koden. rxgk delsystemer RxRPC og er relateret til en sidecache-skrivning på grund af en manglende kopi-ved-skrivning-kontrol i rxgk_decrypt_skb()-funktionen. PoC'en blev udgivet den 18. maj 2026 af BleepingComputer; selve PoC'en er postet i V12-teamlagre.
RxRPC er en kernenetværksprotokol. Linux over UDP, hvilket giver pålidelig transport til fjernoperationer. Kerneldokumentationen angiver specifikt, at AFS — Andrew File System er et eksempel på en applikation, der bruger RxRPC, og selve protokollen understøtter forhandlinger om forbindelsessikkerhed. Det er her, RxGK, der bruges til den sikre tilstand RxRPC/AFS, kommer i spil.
Ifølge V12-beskrivelsen er DirtyDecrypt en anden variant af klassen af sårbarheder CopyFail / Dirty Frag / FragnesiaDe drejer sig alle om en lignende idé: forkert manipulation af kernehukommelse, sidecache og buffere kan tillade en uprivilegeret lokal proces at påvirke data, der burde være uskrivbare. I tilfældet med DirtyDecrypt er dette en "rxgk pagecache-skrivning" på grund af den manglende COW-beskyttelse i rxgk_decrypt_skb().
V12-teamet hævder at have opdaget og rapporteret problemet. 9 May 2026 år, men kernel-vedligeholderne svarede, at det var en kopi af en allerede rettet fejl. Forskerne udgav derefter et proof-of-concept, hvor de hævdede, at rettelsen allerede var i hovedkernen.
Situationen med CVE'er virker ikke helt ligetil. BleepingComputer rapporterer, at der ikke findes nogen separat officiel CVE for navnet DirtyDecrypt på udgivelsestidspunktet, men analytiker Will Dormann forbinder detaljerne offentliggjort af V12 med CVE-2026-31635, rettet i slutningen af april. NVD beskriver CVE-2026-31635 som en fejl i rxrpc: funktionen rxgk_verify_response() kontrollerede forkert længden af RESPONSE-autentificeringsværktøjet, hvilket kunne resultere i, at en for lang autentificeringsværktøj blev sendt til rxgk_decrypt_skb() og forårsagede kodefejl BUG_ON(len).
Det vil sige, at offentligt tilgængelige publikationer linker DirtyDecrypt til CVE-2026-31635, men den formelle CVE-beskrivelse i NVD virker i øjeblikket mere snæver og refererer primært til en længdekontrolfejl i rxrpc, snarere end direkte til DirtyDecrypt/DirtyCBC-aliasset som en separat post. Derfor er det mere korrekt at skrive: DirtyDecrypt er sandsynligvis i overensstemmelse med eller tæt relateret til CVE-2026-31635, i stedet for at påstå, at det er det officielle CVE-navn.
En kerne med denne indstilling aktiveret er påkrævet for drift. CONFIG_RXGK, som inkluderer RxGK-understøttelse af AFS-klienten og netværkstransport. Dette indsnævrer betydeligt udvalget af berørte systemer: primært vedrører det distributioner, der hurtigt følger den opstrøms kerne, herunder Fedora, Arch Linux и openSUSE TumbleweedBleepingComputer understreger, at den offentliggjorte V12 PoC kun blev testet på Fedora og mainline-kernen.
DirtyDecrypt opstod på baggrund af en hel række lignende produkter Linux LPE-sårbarheder. Tidligere afsløret Kopiering mislykkedes i algif_aead, Beskidt fragment i netværkskomponenter, og derefter Fragnesia i XFRM ESP-i-TCP Microsoft beskrevet Dirty Frag som en lokal privilegieeskalering gennem esp4-, esp6- og rxrpc-komponenterne, hvilket giver en angriber mulighed for at få lokal adgang og få fodfæste i systemet.
Den praktiske fare ved sådanne fejl er, at de ofte udnyttes efter det første brud: for eksempel efter at have kompromitteret en SSH-konto, webshell, sårbar container eller bruger med lav privilegier. Når en angriber har opnået root-adgang, kan vedkommende deaktivere sikkerhedskontroller, læse hemmeligheder, ændre logfiler, implementere persistens og bevæge sig videre gennem infrastrukturen.
Brugere af potentielt berørte rolling-release-distributioner rådes til at installere de seneste kerneopdateringer. For systemer, hvor øjeblikkelige opdateringer ikke er mulige, nævner publikationerne midlertidige løsninger såsom deaktivering af ubrugte rxrpc-moduler og relaterede komponenter. Sådanne løsninger kan dog forstyrre AFS og visse IPsec/VPN-scenarier, så de bør kun anvendes efter bekræftelse af virkningen på et specifikt system.
For de fleste desktop- og serverinstallationer er risikoen sandsynligvis lavere end Copy Fail: DirtyDecrypt kræver en specifik kernekonfiguration og lokal kodeudførelse. For Fedora er Arch dog Linux, openSUSE Tumbleweed og andre systemer med hurtige kernelopdateringer, fortjener problemet opmærksomhed: det er ikke længere en teoretisk rapport, men en sårbarhed med et publiceret proof of concept og en klar vej til privilegieeskalering.
Kilde: linux.org.ru
