Ein Machbarkeitsnachweis für die Sicherheitslücke wurde veröffentlicht. DirtyDecrypt, auch bekannt als DirtyCBCwodurch ein lokaler Benutzer ohne Root-Rechte auf einigen Systemen Root-Rechte erlangen kann LinuxDas Problem liegt im Code. rxgk Subsysteme RxRPC und hängt mit einem Schreibvorgang im Seitencache zusammen, der durch eine fehlende Copy-on-Write-Prüfung in der Funktion `rxgk_decrypt_skb()` verursacht wird. Der Proof-of-Concept (PoC) wurde am 18. Mai 2026 von BleepingComputer veröffentlicht; der PoC selbst ist hier zu finden: V12-Team-Repositories.
RxRPC ist ein Kernel-Netzwerkprotokoll. Linux über UDP, wodurch ein zuverlässiger Transport für Remote-Operationen gewährleistet wird. Die Kernel-Dokumentation gibt dies ausdrücklich an. AFS Das Andrew File System ist ein Beispiel für eine Anwendung, die RxRPC nutzt, und das Protokoll selbst unterstützt die Aushandlung der Verbindungssicherheit. Hier kommt RxGK zum Einsatz, das für den sicheren Modus von RxRPC/AFS verwendet wird.
Laut der V12-Beschreibung handelt es sich bei DirtyDecrypt um eine weitere Variante dieser Schwachstellenklasse. CopyFail / Dirty Frag / FragnesiaSie alle basieren auf einem ähnlichen Prinzip: Durch fehlerhafte Manipulation des Kernel-Speichers, des Seitencaches und der Puffer kann ein lokaler Prozess ohne entsprechende Berechtigungen Daten verändern, die eigentlich nicht beschreibbar sein sollten. Im Fall von DirtyDecrypt handelt es sich dabei um einen „rxgk pagecache write“, da der COW-Schutz in rxgk_decrypt_skb() fehlt.
Das V12-Team behauptet, das Problem entdeckt und gemeldet zu haben. 9 Mai 2026 JahrDie Kernel-Entwickler antworteten jedoch, dass es sich um ein Duplikat eines bereits behobenen Fehlers handele. Daraufhin veröffentlichten die Forscher einen Machbarkeitsnachweis und behaupteten, die Korrektur sei bereits im Hauptkernel enthalten.
Die Situation bezüglich der CVEs scheint nicht ganz eindeutig zu sein. BleepingComputer berichtet, dass es zum Zeitpunkt der Veröffentlichung keine separate offizielle CVE für den Namen DirtyDecrypt gibt, aber Analyst Will Dormann verknüpft die von V12 veröffentlichten Details mit … CVE-2026-31635, wurde Ende April behoben. NVD beschreibt CVE-2026-31635 als einen Fehler in rxrpc: Die Funktion rxgk_verify_response() überprüfte die Länge des RESPONSE-Authenticators fehlerhaft, was dazu führen konnte, dass ein zu langer Authenticator an rxgk_decrypt_skb() übergeben wurde und der Code dadurch den Fehler BUG_ON(len) auslöste.
Das heißt, öffentlich zugängliche Veröffentlichungen verlinken DirtyDecrypt mit CVE-2026-31635Die formale CVE-Beschreibung in NVD scheint derzeit jedoch enger gefasst zu sein und bezieht sich primär auf einen Längenprüfungsfehler in rxrpc, anstatt direkt auf den Alias DirtyDecrypt/DirtyCBC als separaten Eintrag. Daher ist es korrekter zu schreiben: DirtyDecrypt steht wahrscheinlich in Zusammenhang mit oder ist eng verwandt mit CVE-2026-31635., anstatt zu behaupten, es handele sich um den offiziellen CVE-Namen.
Für den Betrieb ist ein Kernel erforderlich, bei dem diese Option aktiviert ist. CONFIG_RXGKDies umfasst die RxGK-Unterstützung für den AFS-Client und den Netzwerktransport. Dadurch wird der Kreis der betroffenen Systeme deutlich eingeschränkt: Es betrifft hauptsächlich Distributionen, die den Upstream-Kernel schnell übernehmen, darunter Fedora, Bogen Linux и openSUSE TumbleweedBleepingComputer betont, dass der veröffentlichte V12 PoC nur auf Fedora und dem Mainline-Kernel getestet wurde.
DirtyDecrypt entstand vor dem Hintergrund einer ganzen Reihe ähnlicher Produkte. Linux LPE-Schwachstellen. Bereits bekanntgegeben Kopierfehler in algif_aead, Schmutziges Fragment in Netzwerkkomponenten und dann Fragnesia in XFRM ESP-in-TCP Microsoft beschrieben Dirty Frag ist eine lokale Rechteausweitung über die Komponenten esp4, esp6 und rxrpc, die es einem Angreifer ermöglicht, lokalen Zugriff zu erlangen und sich im System festzusetzen.
Die praktische Gefahr solcher Fehler besteht darin, dass sie nach dem ersten Sicherheitsvorfall häufig ausgenutzt werden: beispielsweise nach der Kompromittierung eines SSH-Kontos, einer Web-Shell, eines anfälligen Containers oder eines Benutzers mit geringen Berechtigungen. Mit Root-Zugriff kann ein Angreifer Sicherheitskontrollen deaktivieren, Geheimnisse lesen, Protokolle manipulieren, persistenten Schadcode einschleusen und sich so weiter in der Infrastruktur ausbreiten.
Nutzern potenziell betroffener Rolling-Release-Distributionen wird empfohlen, die neuesten Kernel-Updates zu installieren. Für Systeme, bei denen sofortige Updates nicht möglich sind, werden in den Veröffentlichungen temporäre Lösungen wie die Deaktivierung ungenutzter rxrpc-Module und zugehöriger Komponenten genannt. Solche Workarounds können jedoch AFS und bestimmte IPsec/VPN-Szenarien beeinträchtigen und sollten daher erst nach Bestätigung der Auswirkungen auf das jeweilige System angewendet werden.
Bei den meisten Desktop- und Serverinstallationen ist das Risiko wahrscheinlich geringer als bei einem Kopierfehler: DirtyDecrypt erfordert eine spezifische Kernelkonfiguration und die lokale Ausführung von Code. Allerdings gilt dies nicht für Fedora und Arch. LinuxBei openSUSE Tumbleweed und anderen Systemen mit schnellen Kernel-Updates verdient das Problem Aufmerksamkeit: Es handelt sich nicht mehr um einen theoretischen Bericht, sondern um eine Sicherheitslücke mit einem veröffentlichten Proof of Concept und einem klaren Weg zur Rechteausweitung.
Source: linux.org.ru
