DirtyDecrypt は、root 権限を付与する別の Copy Fail クラスの脆弱性です。 Linux

コアでは Linux Copy Fail、Dirty Frag、Fragnesiaと同様の脆弱性が確認されました。この脆弱性により、権限のないユーザーがページキャッシュ内のデータを上書きすることでroot権限を取得できます。この脆弱性はDirtyDecryptというコードネームで呼ばれています（DirtyCBCとも呼ばれます）。プロトタイプのエクスプロイトが利用可能です。

このエクスプロイトの説明には CVE 識別子は記載されておらず、研究者らが 5 月 9 日にこの問題を発見し、カーネル開発者に報告したところ、その発見は既に修正済みの脆弱性に関する別の報告と重複しているとの回答があったとだけ記されている。修正パッチが既にカーネルに含まれているため、研究者らは開発したエクスプロイトを公開することにした。エクスプロイトの説明から判断すると、これは脆弱性 CVE-2026-31635 を悪用するもので、この脆弱性に対する修正は 4 月にカーネルに受け入れられ、7.0.0 ブランチおよび 4 月 18 日にリリースされた 6.18.23 リリースに含まれている。この問題はカーネル 6.16 以降存在していた。

Dirty Frag シリーズの脆弱性と同様に、UDP 上で動作する AF_RXRPC ソケットファミリーと RPC プロトコルを実装する RxRPC ドライバに新たな脆弱性が存在します。この問題は、rxgk_verify_response() 関数におけるデータサイズチェックの誤りが原因です。本来は「if (auth_len > len)」とチェックすべきところが、「if (auth_len < len)」と指定されていたため、許容サイズを超えるデータが rxgk_decrypt_skb() 関数に渡されていました。rxgk_decrypt_skb() が実行されると、不要なバッファリングを避けるため、変更内容がページキャッシュに直接挿入され、データが復号化されました。しかし、サイズチェックが誤っていたため、ページキャッシュ内の指定されたオフセットのデータが上書きされる可能性がありました。

この脆弱性を悪用するには、suid rootフラグ付きのプログラムファイルを読み込み（ページキャッシュへの配置を確実にするため）、ページキャッシュ内のプログラムコードの一部を/usr/bin/shを起動するコードに置き換えます。その後、プログラムを実行すると、ドライブ上の元の実行可能ファイルではなく、ページキャッシュから変更されたコピーがメモリにロードされます。このエクスプロイトは、「/usr/bin/su」、「/bin/su」、「/usr/bin/mount」、「/usr/bin/passwd」、「/usr/bin/chsh」の使用をサポートしています。

この脆弱性を悪用するには、カーネルのビルド時に CONFIG_RXGK オプションを有効にし、rxrpc.ko カーネルモジュールが自動ロード可能になっている必要があります（一部のシステムではビルドできません）。ディストリビューションにおける脆弱性修正の状況は、以下のページで確認できます。 Debian, UbuntuSUSE/openSUSE、RHEL、Arch、Fedora。回避策として、rxrpcカーネルモジュールの読み込みをブロックすることができます。

sh -c "p​​rintf 'install rxrpc /bin/false\n' > /etc/modprobe.d/dirtydecrypt.conf; rmmod rxrpc 2>/dev/null; true"

さらに、カーネル開発者メーリングリストでその公開について言及することもできます。 Linux このパッチは、暗号化API（AF_ALG）において、「skcipher」および「aead」アルゴリズムによる復号時にページキャッシュへの直接アクセスを使用する最適化を完全に無効化します。これらの最適化は不要なデータバッファリングを排除しますが、深刻な脆弱性を招くリスクがあります。無効化しても、別のバッファへの追加のコピー操作が発生するため、パフォーマンスの低下はごくわずかと予想されます。このパッチは暗号化APIサブシステムのメンテナに承認され、将来のカーネルリリースへの組み込みに向けて機能が開発されている「cryptodev」ブランチに含まれています。 Linux.

出所： オープンネット.ru