Er is een proof-of-concept voor de kwetsbaarheid gepubliceerd. DirtyDecrypt, ook gekend als DirtyCBCwaardoor een lokale gebruiker zonder rootrechten op sommige systemen kan verkrijgen. LinuxHet probleem zit in de code. rxgk subsystemen RxRPC en houdt verband met een schrijfbewerking naar de paginacache vanwege een ontbrekende copy-on-write-controle in de functie rxgk_decrypt_skb(). De proof-of-concept (PoC) werd op 18 mei 2026 gepubliceerd door BleepingComputer; de PoC zelf is te vinden in V12 team repositories.
RxRPC is een netwerkprotocol van de kernel. Linux via UDP, wat zorgt voor betrouwbaar transport voor bewerkingen op afstand. De kerneldocumentatie vermeldt specifiek dat AFS — Andrew File System is een voorbeeld van een applicatie die RxRPC gebruikt, en het protocol zelf ondersteunt onderhandelingen over de beveiliging van de verbinding. Dit is waar RxGK, dat gebruikt wordt voor de beveiligde modus van RxRPC/AFS, in beeld komt.
Volgens de V12-beschrijving is DirtyDecrypt een andere variant van de klasse van kwetsbaarheden. CopyFail / Dirty Frag / FragnesiaZe draaien allemaal om een vergelijkbaar idee: onjuiste manipulatie van kernelgeheugen, paginacache en buffers kan een lokaal proces zonder bevoegdheden in staat stellen gegevens te beïnvloeden die niet beschrijfbaar zouden moeten zijn. In het geval van DirtyDecrypt is dit een "rxgk pagecache write" vanwege de ontbrekende COW-bescherming in rxgk_decrypt_skb().
Het V12-team beweert het probleem te hebben ontdekt en gemeld. 9 mei 2026 jaarMaar de kernelbeheerders reageerden dat het een duplicaat was van een reeds verholpen bug. De onderzoekers publiceerden vervolgens een proof-of-concept, waarin ze beweerden dat de oplossing al in de hoofdkernel was opgenomen.
De situatie met CVE's lijkt niet helemaal eenduidig. BleepingComputer meldt dat er op het moment van publicatie geen aparte officiële CVE voor de naam DirtyDecrypt bestaat, maar analist Will Dormann koppelt de door V12 gepubliceerde details aan CVE-2026-31635, opgelost eind april. NVD beschrijft CVE-2026-31635 als een fout in rxrpc: de functie rxgk_verify_response() controleerde onjuist de lengte van de RESPONSE-authenticator, wat ertoe kon leiden dat een te lange authenticator werd doorgegeven aan rxgk_decrypt_skb() en dat de code faalde met BUG_ON(len).
Dat wil zeggen, openbaar beschikbare publicaties linken DirtyDecrypt aan CVE-2026-31635Maar de formele CVE-beschrijving in NVD lijkt momenteel beperkter en verwijst primair naar een lengtecontrolefout in rxrpc, in plaats van direct naar de DirtyDecrypt/DirtyCBC-alias als een aparte vermelding. Daarom is het correcter om te schrijven: DirtyDecrypt komt waarschijnlijk overeen met of is nauw verwant aan CVE-2026-31635.In plaats van te beweren dat het de officiële CVE-naam is.
Voor de werking is een kernel met deze optie ingeschakeld vereist. CONFIG_RXGK, wat RxGK-ondersteuning voor de AFS-client en netwerktransport omvat. Dit verkleint het aantal getroffen systemen aanzienlijk: het betreft voornamelijk distributies die de upstream-kernel snel volgen, waaronder Fedora, boog Linux и openSUSE TumbleweedBleepingComputer benadrukt dat de gepubliceerde V12 PoC alleen is getest op Fedora en de mainline-kernel.
DirtyDecrypt ontstond te midden van een hele reeks vergelijkbare producten. Linux LPE-kwetsbaarheden. Eerder bekendgemaakt. Kopieerfout in algif_aead, Vuile Fragment in netwerkcomponenten, en dan Fragnesia in XFRM ESP-in-TCP Microsoft beschreven Dirty Frag is een lokale privilege-escalatie via de esp4-, esp6- en rxrpc-componenten, waardoor een aanvaller lokale toegang kan verkrijgen en voet aan de grond kan krijgen in het systeem.
Het praktische gevaar van dergelijke fouten is dat ze vaak worden uitgebuit na de initiële inbreuk: bijvoorbeeld na het compromitteren van een SSH-account, webshell, kwetsbare container of servicegebruiker met lage privileges. Met root-toegang kan een aanvaller beveiligingsmaatregelen uitschakelen, geheimen lezen, logbestanden wijzigen, persistentie implementeren en verder doordringen in de infrastructuur.
Gebruikers van mogelijk getroffen rolling-release distributies wordt aangeraden de nieuwste kernelupdates te installeren. Voor systemen waar onmiddellijke updates niet mogelijk zijn, worden in de publicaties tijdelijke oplossingen genoemd, zoals het uitschakelen van ongebruikte rxrpc-modules en gerelateerde componenten. Dergelijke oplossingen kunnen echter AFS en bepaalde IPsec/VPN-scenario's verstoren, dus ze mogen alleen worden toegepast nadat de impact op een specifiek systeem is bevestigd.
Voor de meeste desktop- en serverinstallaties is het risico waarschijnlijk lager dan bij Copy Fail: DirtyDecrypt vereist een specifieke kernelconfiguratie en lokale code-uitvoering. Voor Fedora en Arch Linux is dit echter anders. LinuxVoor openSUSE Tumbleweed en andere systemen met snelle kernelupdates verdient dit probleem aandacht: het is niet langer een theoretisch rapport, maar een kwetsbaarheid met een gepubliceerd bewijs van concept en een duidelijke manier om privileges te verhogen.
Bron: linux.org.ru
