Sebuah bukti konsep untuk kerentanan tersebut telah dipublikasikan. Dekripsi Kotor, juga dikenal sebagai DirtyCBC, memungkinkan pengguna lokal tanpa hak istimewa untuk mendapatkan hak akses root pada beberapa sistem. LinuxMasalahnya ada pada kode tersebut. rxgk subsistem RxRPC dan terkait dengan penulisan cache halaman karena kurangnya pemeriksaan copy-on-write dalam fungsi rxgk_decrypt_skb(). PoC tersebut dipublikasikan pada 18 Mei 2026 oleh BleepingComputer; PoC itu sendiri diposting di Repositori tim V12.
RxRPC adalah protokol jaringan kernel. Linux melalui UDP, menyediakan transportasi yang andal untuk operasi jarak jauh. Dokumentasi kernel secara khusus menyatakan bahwa AFS — Andrew File System adalah contoh aplikasi yang menggunakan RxRPC, dan protokol itu sendiri mendukung negosiasi keamanan koneksi. Di sinilah RxGK, yang digunakan untuk mode aman RxRPC/AFS, berperan.
Menurut deskripsi V12, DirtyDecrypt adalah varian lain dari kelas kerentanan tersebut. CopyFail / Dirty Frag / FragnesiaSemua itu berputar di sekitar ide yang serupa: manipulasi yang salah terhadap memori kernel, cache halaman, dan buffer dapat memungkinkan proses lokal yang tidak memiliki hak istimewa untuk memengaruhi data yang seharusnya tidak dapat ditulis. Dalam kasus DirtyDecrypt, ini adalah "penulisan cache halaman rxgk" karena kurangnya perlindungan COW di rxgk_decrypt_skb().
Tim V12 mengklaim telah menemukan dan melaporkan masalah tersebut. 9 Mei tahun 2026Namun, pengelola kernel menanggapi bahwa itu adalah duplikat dari bug yang sudah diperbaiki. Para peneliti kemudian menerbitkan bukti konsep, mengklaim bahwa perbaikan tersebut sudah ada di kernel utama.
Situasi terkait CVE tampaknya tidak sepenuhnya mudah dipahami. BleepingComputer melaporkan bahwa pada saat publikasi, belum ada CVE resmi terpisah untuk nama DirtyDecrypt, tetapi analis Will Dormann menghubungkan detail yang diterbitkan oleh V12 dengan CVE-2026-31635, diperbaiki pada akhir April. NVD mendeskripsikan CVE-2026-31635 sebagai kesalahan pada rxrpc: fungsi rxgk_verify_response() secara tidak benar memeriksa panjang otentikator RESPONSE, yang dapat mengakibatkan otentikator yang terlalu panjang diteruskan ke rxgk_decrypt_skb() dan menyebabkan kode gagal BUG_ON(len).
Artinya, publikasi yang tersedia untuk umum menghubungkan DirtyDecrypt dengan CVE-2026-31635Namun, deskripsi CVE formal di NVD saat ini tampak lebih sempit dan terutama merujuk pada kesalahan pengecekan panjang di rxrpc, daripada langsung ke alias DirtyDecrypt/DirtyCBC sebagai entri terpisah. Oleh karena itu, lebih tepat untuk menulis: DirtyDecrypt kemungkinan besar konsisten dengan atau terkait erat dengan CVE-2026-31635., alih-alih mengklaim bahwa itu adalah nama CVE resmi.
Diperlukan kernel dengan opsi ini yang diaktifkan agar dapat beroperasi. KONFIG_RXGK, yang mencakup dukungan RxGK untuk klien AFS dan transportasi jaringan. Hal ini secara signifikan mempersempit jangkauan sistem yang terpengaruh: terutama, hal ini menyangkut distribusi yang dengan cepat mengikuti kernel upstream, termasuk Fedora, Lengkungan Linux и openSUSE TumbleweedBleepingComputer menekankan bahwa PoC V12 yang dipublikasikan hanya diuji pada Fedora dan kernel utama.
DirtyDecrypt muncul di tengah banyaknya produk serupa lainnya. Linux Kerentanan LPE. Telah diungkapkan sebelumnya. Salinan Gagal di algif_aead, Fragmen Kotor pada komponen jaringan, dan kemudian Fragmentasi di XFRM ESP-in-TCP Microsoft dijelaskan Dirty Frag adalah serangan peningkatan hak akses lokal melalui komponen esp4, esp6, dan rxrpc, yang memungkinkan penyerang untuk mendapatkan akses lokal dan memperoleh pijakan dalam sistem.
Bahaya praktis dari kesalahan semacam itu adalah bahwa kesalahan tersebut sering dieksploitasi setelah pelanggaran awal: misalnya, setelah membobol akun SSH, web shell, kontainer yang rentan, atau pengguna layanan dengan hak akses rendah. Setelah mendapatkan akses root, penyerang dapat menonaktifkan kontrol keamanan, membaca rahasia, memodifikasi log, menerapkan persistensi, dan bergerak lebih jauh melalui infrastruktur.
Pengguna distribusi rilis bergulir yang berpotensi terpengaruh disarankan untuk menginstal pembaruan kernel terbaru. Untuk sistem yang tidak memungkinkan pembaruan langsung, publikasi tersebut menyebutkan solusi sementara seperti menonaktifkan modul rxrpc yang tidak digunakan dan komponen terkait. Namun, solusi sementara tersebut dapat merusak AFS dan beberapa skenario IPsec/VPN, sehingga hanya boleh diterapkan setelah memastikan dampaknya pada sistem tertentu.
Untuk sebagian besar instalasi desktop dan server, risikonya mungkin lebih rendah daripada Copy Fail: DirtyDecrypt memerlukan konfigurasi kernel khusus dan eksekusi kode lokal. Namun, untuk Fedora, Arch LinuxUntuk sistem operasi seperti openSUSE Tumbleweed dan sistem lain dengan pembaruan kernel yang cepat, masalah ini patut mendapat perhatian: ini bukan lagi laporan teoretis, tetapi kerentanan dengan bukti konsep yang telah dipublikasikan dan jalur yang jelas menuju peningkatan hak akses.
Sumber: linux.org.ru
