Haavoittuvuudelle on julkaistu toimivuustodistus. Likainen salaus, joka tunnetaan myös nimellä LikainenCBC, jolloin paikallinen etuoikeudeton käyttäjä voi saada pääkäyttäjän oikeudet joissakin järjestelmissä LinuxOngelma on koodissa. rxgk alijärjestelmät RxRPC ja liittyy sivun välimuistiin kirjoittamiseen, joka johtuu puuttuvasta kopioinnin kirjoitushetkellä -tarkistuksesta rxgk_decrypt_skb()-funktiossa. PoC julkaistiin 18. toukokuuta 2026 BleepingComputerin toimesta; itse PoC on julkaistu osoitteessa V12-tiimin arkistot.
RxRPC on ytimen verkkoprotokolla. Linux UDP:n kautta, mikä tarjoaa luotettavan tiedonsiirron etätoimintoja varten. Ytimen dokumentaatiossa todetaan erityisesti, että AFS — Andrew File System on esimerkki RxRPC:tä käyttävästä sovelluksesta, ja itse protokolla tukee yhteyden suojausneuvotteluja. Tässä kohtaa RxRPC/AFS:n suojatussa tilassa käytetty RxGK tulee mukaan kuvaan.
V12-kuvauksen mukaan DirtyDecrypt on toinen haavoittuvuuksien luokan muunnelma. CopyFail / Likainen Frag / FragnesiaNe kaikki pyörivät samanlaisen ajatuksen ympärillä: ytimen muistin, sivuvälimuistin ja puskurien virheellinen käsittely voi antaa etuoikeuttamattoman paikallisen prosessin vaikuttaa tietoihin, joiden pitäisi olla kirjoitettavissa. DirtyDecryptin tapauksessa tämä on "rxgk-sivuvälimuistiin kirjoittaminen", koska rxgk_decrypt_skb()-funktiossa ei ole COW-suojausta.
V12-tiimi väittää löytäneensä ja raportoineensa ongelman. 9 Toukokuu 2026 vuosi, mutta ytimen ylläpitäjät vastasivat, että se oli jo korjatun virheen kopio. Tutkijat julkaisivat sitten konseptitodistuksen väittäen, että korjaus oli jo pääytimessä.
Tilanne CVE-hyökkäysten kanssa ei vaikuta täysin yksinkertaiselta. BleepingComputer raportoi, että DirtyDecrypt-nimelle ei ole julkaisuhetkellä erillistä virallista CVE-hyökkäystä, mutta analyytikko Will Dormann yhdistää V12:n julkaisemat tiedot CVE-2026-31635, korjattu huhtikuun lopussa. NVD kuvailee CVE-2026-31635:n virheeksi rxrpc:ssä: rxgk_verify_response()-funktio tarkisti virheellisesti RESPONSE-todentajan pituuden, mikä saattoi johtaa liian pitkän todentajan välittämiseen rxgk_decrypt_skb():lle ja aiheuttaa koodin epäonnistumisen BUG_ON(len)-funktiossa.
Eli julkisesti saatavilla olevat julkaisut linkittävät DirtyDecryptin CVE-2026-31635, mutta NVD:n virallinen CVE-kuvaus vaikuttaa tällä hetkellä suppeammalta ja viittaa ensisijaisesti pituustarkistusvirheeseen rxrpc:ssä sen sijaan, että se viittaisi suoraan DirtyDecrypt/DirtyCBC-aliakseen erillisenä merkintänä. Siksi on oikeampaa kirjoittaa: DirtyDecrypt on todennäköisesti yhdenmukainen CVE-2026-31635:n kanssa tai läheisesti siihen liittyvä., sen sijaan, että väittäisi sen olevan virallinen CVE-nimi.
Toiminta edellyttää ydintä, jossa tämä asetus on käytössä. CONFIG_RXGK, joka sisältää RxGK-tuen AFS-asiakasohjelmalle ja verkkosiirrolle. Tämä kaventaa merkittävästi niiden järjestelmien määrää, joita ongelma koskee: ensisijaisesti se koskee jakeluita, jotka seuraavat nopeasti ydintä, mukaan lukien Fedora, Kaari Linux и openSUSE TumbleweedBleepingComputer korostaa, että julkaistua V12 PoC:ta testattiin vain Fedoralla ja pääkäyttöjärjestelmän ytimessä.
DirtyDecrypt syntyi useiden samankaltaisten tuotteiden taustalla Linux LPE-haavoittuvuudet. Aiemmin paljastettu Kopiointi epäonnistui algif_aead-tiedostossa Likainen Frag verkkokomponenteissa ja sitten Fragnesia XFRM ESP:ssä ja TCP:ssä Microsoftissa kuvattu Dirty Frag paikallisena oikeuksien eskalaationa esp4-, esp6- ja rxrpc-komponenttien kautta, minkä ansiosta hyökkääjä voi saada paikallisen pääsyn ja jalansijan järjestelmässä.
Tällaisten virheiden käytännön vaarana on, että niitä hyödynnetään usein alkuperäisen murron jälkeen: esimerkiksi SSH-tilin, web-kuoren, haavoittuvan säilön tai vähäisten oikeuksien omaavan palvelun käyttäjän vaarantamisen jälkeen. Pääkäyttäjän oikeuksien saatuaan hyökkääjä voi poistaa käytöstä suojauskontrollit, lukea salaisuuksia, muokata lokeja, ottaa käyttöön pysyvyyden suojauksen ja siirtyä pidemmälle infrastruktuurissa.
Mahdollisesti muutoksen kohteena olevien päivitysversioiden käyttäjien on suositeltavaa asentaa uusimmat kernel-päivitykset. Järjestelmille, joissa välittömät päivitykset eivät ole mahdollisia, julkaisuissa mainitaan väliaikaisia ratkaisuja, kuten käyttämättömien rxrpc-moduulien ja niihin liittyvien komponenttien poistaminen käytöstä. Tällaiset kiertotavat voivat kuitenkin rikkoa AFS:n ja jotkut IPsec/VPN-skenaariot, joten niitä tulisi käyttää vasta sen jälkeen, kun vaikutus tiettyyn järjestelmään on vahvistettu.
Useimmissa työpöytä- ja palvelinasennuksissa riski on todennäköisesti pienempi kuin kopioinnin epäonnistuminen: DirtyDecrypt vaatii tietyn ytimen kokoonpanon ja paikallisen koodin suorittamisen. Fedoran osalta Arch... Linux, openSUSE Tumbleweed ja muut järjestelmät, joissa on nopeat ytimen päivitykset, ansaitsevat huomiota: se ei ole enää teoreettinen raportti, vaan haavoittuvuus, josta on julkaistu todiste konseptista ja selkeä polku käyttöoikeuksien laajentamiseen.
Lähde: linux.org.ru
