Objavljen je dokaz koncepta za ranjivost. DirtyDecrypt, također poznat kao DirtyCBC, što lokalnom neprivilegiranom korisniku omogućuje dobivanje root privilegija na nekim sustavima LinuxProblem je u kodu. rxgk podsustavi RxRPC i povezan je s pisanjem u predmemoriju stranice zbog nedostajuće provjere kopiranja prilikom pisanja u funkciji rxgk_decrypt_skb(). PoC je objavljen 18. svibnja 2026. od strane BleepingComputera; sam PoC je objavljen u V12 repozitoriji tima.
RxRPC je mrežni protokol kernela. Linux preko UDP-a, pružajući pouzdan transport za udaljene operacije. Dokumentacija kernela posebno navodi da AFS — Andrew File System je primjer aplikacije koja koristi RxRPC, a sam protokol podržava pregovore o sigurnosti veze. Tu dolazi do izražaja RxGK, koji se koristi za sigurni način rada RxRPC/AFS-a.
Prema opisu V12, DirtyDecrypt je još jedna varijanta klase ranjivosti. Neuspjeh kopiranja / Prljavi fragment / FragnesiaSvi se vrte oko slične ideje: neispravna manipulacija memorijom kernela, predmemorijom stranica i međuspremnicima može omogućiti neprivilegiranom lokalnom procesu da utječe na podatke koji bi trebali biti nepisivi. U slučaju DirtyDecrypta, ovo je "rxgk pagecache write" zbog nedostatka COW zaštite u rxgk_decrypt_skb().
Tim V12 tvrdi da je otkrio i prijavio problem. 9 svibnja 2026 godine, ali održavatelji kernela odgovorili su da se radi o duplikatu već ispravljene greške. Istraživači su zatim objavili dokaz koncepta, tvrdeći da se ispravak već nalazi u glavnoj kerneli.
Situacija s CVE-ima ne čini se sasvim jednostavnom. BleepingComputer izvještava da u vrijeme objave ne postoji zaseban službeni CVE za naziv DirtyDecrypt, ali analitičar Will Dormann povezuje detalje koje je objavio V12 s CVE-2026-31635, ispravljeno krajem travnja. NVD opisuje CVE-2026-31635 kao grešku u rxrpc-u: funkcija rxgk_verify_response() neispravno je provjeravala duljinu autentifikatora RESPONSE, što je moglo rezultirati prosljeđivanjem predugog autentifikatora funkciji rxgk_decrypt_skb() i uzrokom neuspjeha koda BUG_ON(len).
To jest, javno dostupne publikacije povezuju DirtyDecrypt s CVE-2026-31635, ali formalni opis CVE u NVD-u trenutno se čini užim i prvenstveno se odnosi na pogrešku provjere duljine u rxrpc-u, a ne izravno na alias DirtyDecrypt/DirtyCBC kao zaseban unos. Stoga je ispravnije napisati: DirtyDecrypt je vjerojatno u skladu s ili usko povezan s CVE-2026-31635., umjesto da se tvrdi da je to službeni naziv CVE-a.
Za rad je potrebna jezgra s ovom omogućenom opcijom. CONFIG_RXGK, što uključuje RxGK podršku za AFS klijenta i mrežni transport. To značajno sužava raspon pogođenih sustava: prvenstveno se odnosi na distribucije koje brzo slijede uzvodni kernel, uključujući Fedora, Svod Linux и openSUSE TumbleweedBleepingComputer naglašava da je objavljeni V12 PoC testiran samo na Fedori i glavnoj kerneli.
DirtyDecrypt se pojavio na pozadini cijelog niza sličnih proizvoda Linux LPE ranjivosti. Prethodno otkriveno Kopiranje nije uspjelo u algif_aead, Prljavi fragment u mrežnim komponentama, a zatim Frangnesia u XFRM-u ESP-u-TCP-u Microsoftu opisano Dirty Frag kao lokalna eskalacija privilegija putem komponenti esp4, esp6 i rxrpc, omogućujući napadaču lokalni pristup i učvršćivanje sustava.
Praktična opasnost takvih pogrešaka je u tome što se često iskorištavaju nakon početnog proboja: na primjer, nakon kompromitiranja SSH računa, web ljuske, ranjivog spremnika ili korisnika usluge s niskim privilegijama. Nakon što je dobio root pristup, napadač može onemogućiti sigurnosne kontrole, čitati tajne, mijenjati zapisnike, implementirati perzistenciju i kretati se dalje kroz infrastrukturu.
Korisnicima potencijalno pogođenih distribucija s postupnim izdavanjem preporučuje se instaliranje najnovijih ažuriranja kernela. Za sustave gdje trenutna ažuriranja nisu moguća, publikacije spominju privremena rješenja poput onemogućavanja nekorištenih rxrpc modula i povezanih komponenti. Međutim, takva zaobilazna rješenja mogu poremetiti AFS i neke IPsec/VPN scenarije, stoga ih treba primijeniti tek nakon potvrde utjecaja na određeni sustav.
Za većinu instalacija na stolnim računalima i poslužiteljima, rizik je vjerojatno manji od neuspjelog kopiranja: DirtyDecrypt zahtijeva specifičnu konfiguraciju kernela i lokalno izvršavanje koda. Međutim, za Fedoru, Arch Linux, openSUSE Tumbleweed i druge sustave s brzim ažuriranjima kernela, problem zaslužuje pažnju: više nije teoretsko izvješće, već ranjivost s objavljenim dokazom koncepta i jasnim putem do eskalacije privilegija.
Izvor: linux.org.ru
