Ing inti Linux Kerentanan sing mèmper karo Copy Fail, Dirty Frag, lan Fragnesia wis diidentifikasi, sing ngidini pangguna sing ora duwe hak istimewa entuk hak akses root kanthi nulis ulang data ing cache kaca. Kerentanan kasebut diwenehi jeneng kode DirtyDecrypt (masalah kasebut uga diarani DirtyCBC). Eksploitasi prototipe kasedhiya.
Katrangan babagan eksploitasi kasebut ora nyebutake pengenal CVE, mung nyatakake yen para peneliti nemokake masalah kasebut tanggal 9 Mei lan banjur nglaporake menyang para pangembang kernel, sing nanggapi yen panemuan kasebut nduplikasi laporan liyane babagan kerentanan sing wis didandani. Amarga patch karo perbaikan kasebut wis kalebu ing kernel, para peneliti mutusake kanggo nerbitake eksploitasi sing dikembangake. Dideleng saka katrangan babagan eksploitasi kasebut, eksploitasi kasebut ngeksploitasi kerentanan CVE-2026-31635, perbaikan sing ditampa ing kernel ing wulan April lan kalebu ing cabang 7.0.0 lan rilis 6.18.23 sing dirilis tanggal 18 April. Masalah kasebut wis ana wiwit kernel 6.16.
Kaya seri kerentanan Dirty Frag, ana kerentanan anyar ing driver RxRPC, sing ngetrapake kulawarga soket AF_RXRPC lan protokol RPC kanthi jeneng sing padha, sing mlaku liwat UDP. Masalah iki disebabake kesalahan ing pamriksan ukuran data ing fungsi rxgk_verify_response(). Tinimbang mriksa "if (auth_len > len)," kode kasebut nemtokake "if (auth_len < len)," sing nyebabake data sing luwih gedhe tinimbang sing diidini dikirim menyang fungsi rxgk_decrypt_skb(). Nalika rxgk_decrypt_skb() dieksekusi, data kasebut didekripsi kanthi langsung nglebokake pangowahan menyang cache kaca kanggo nyegah buffering sing ora perlu. Amarga pamriksan ukuran sing salah, data ing cache kaca bisa ditulis ulang ing offset sing ditemtokake.
Eksploitasi kerentanan iki kalebu maca file program nganggo flag root suid (kanggo njamin penempatane ing cache kaca) lan ngganti bagean kode program ing cache kaca nganggo kode kanggo ngluncurake /usr/bin/sh. Eksekusi program sabanjure bakal nyebabake salinan sing dimodifikasi saka cache kaca dimuat menyang memori, tinimbang file sing bisa dieksekusi asli saka drive. Eksploitasi kasebut ndhukung panggunaan "/usr/bin/su", "/bin/su", "/usr/bin/mount", "/usr/bin/passwd", lan "/usr/bin/chsh".
Kanggo ngeksploitasi kerentanan iki, opsi CONFIG_RXGK kudu diaktifake nalika mbangun kernel, lan modul kernel rxrpc.ko kudu kasedhiya kanggo dimuat otomatis (ora dibangun ing sawetara sistem). Status perbaikan kerentanan ing distribusi bisa ditaksir ing kaca iki: Debian, Ubuntu, SUSE/openSUSE, RHEL, Arch, Fedora. Minangka solusi, sampeyan bisa mblokir pemuatan modul kernel rxrpc:
sh -c "printf 'instal rxrpc /bin/false\n' > /etc/modprobe.d/dirtydecrypt.conf; rmmod rxrpc 2>/dev/null; bener"
Kajaba iku, sampeyan bisa nyathet publikasi ing mailing list pangembang kernel Linux Patch ngnonaktifake optimasi ing crypto API (AF_ALG) sing nggunakake akses langsung menyang cache kaca nalika dekripsi nganggo algoritma "skcipher" lan "aead". Optimasi iki ngilangi buffering data sing ora perlu, nanging nyebabake risiko kerentanan sing serius. Nonaktifake diarepake mung bakal nyebabake penalti kinerja cilik amarga operasi salinan tambahan menyang buffer sing kapisah. Patch kasebut wis ditampa dening pangurus subsistem crypto API lan kalebu ing cabang "cryptodev", ing ngendi fitur dikembangake kanggo dilebokake ing rilis kernel ing mangsa ngarep. Linux.
Source: opennet.ru
