Uma prova de conceito para a vulnerabilidade foi publicada. DirtyDecrypt, também conhecido como DirtyCBC, permitindo que um usuário local sem privilégios obtenha privilégios de root em alguns sistemas LinuxO problema está no código. rxgk subsistemas RxRPC e está relacionado a uma gravação no cache de páginas devido à ausência de uma verificação de cópia em gravação na função rxgk_decrypt_skb(). A prova de conceito foi publicada em 18 de maio de 2026 pelo BleepingComputer; a própria prova de conceito está publicada em Repositórios da equipe V12.
RxRPC é um protocolo de rede do kernel. Linux via UDP, fornecendo transporte confiável para operações remotas. A documentação do kernel afirma especificamente que AFS — O sistema de arquivos Andrew é um exemplo de aplicação que utiliza RxRPC, e o próprio protocolo suporta negociações de segurança de conexão. É aqui que o RxGK, usado para o modo seguro do RxRPC/AFS, entra em ação.
De acordo com a descrição da versão 12, DirtyDecrypt é outra variante dessa classe de vulnerabilidades. Falha na cópia / Fragmento sujo / FragnesiaTodos giram em torno de uma ideia semelhante: a manipulação incorreta da memória do kernel, do cache de páginas e dos buffers pode permitir que um processo local sem privilégios afete dados que deveriam ser não graváveis. No caso do DirtyDecrypt, trata-se de uma "gravação no cache de páginas do rxgk" devido à ausência da proteção COW em rxgk_decrypt_skb().
A equipe V12 afirma ter descoberto e relatado o problema. 9 Maio 2026 anosMas os responsáveis pela manutenção do kernel responderam que se tratava de uma duplicata de um bug já corrigido. Os pesquisadores então publicaram uma prova de conceito, alegando que a correção já estava presente no kernel principal.
A situação com as CVEs não parece totalmente simples. O BleepingComputer relata que não há uma CVE oficial separada para o nome DirtyDecrypt no momento da publicação, mas o analista Will Dormann relaciona os detalhes publicados pela V12 a CVE-2026-31635, corrigido no final de abril. O NVD descreve CVE-2026-31635 como um erro em rxrpc: a função rxgk_verify_response() verificava incorretamente o comprimento do autenticador RESPONSE, o que poderia resultar em um autenticador excessivamente longo sendo passado para rxgk_decrypt_skb() e fazendo com que o código falhasse BUG_ON(len).
Ou seja, publicações disponíveis publicamente vinculam DirtyDecrypt a CVE-2026-31635Porém, a descrição formal da CVE no NVD atualmente parece mais restrita e se refere principalmente a um erro de verificação de comprimento no rxrpc, em vez de mencionar diretamente o alias DirtyDecrypt/DirtyCBC como uma entrada separada. Portanto, é mais correto escrever: DirtyDecrypt provavelmente é consistente com ou está intimamente relacionado ao CVE-2026-31635., em vez de afirmar que esse é o nome oficial do CVE.
É necessário um kernel com esta opção ativada para o funcionamento. CONFIG_RXGK, que inclui suporte RxGK para o cliente AFS e transporte de rede. Isso reduz significativamente o leque de sistemas afetados: principalmente, diz respeito a distribuições que seguem rapidamente o kernel upstream, incluindo Fedora, arco Linux и openSUSE TumbleweedO BleepingComputer enfatiza que a prova de conceito (PoC) da versão 12 publicada foi testada apenas no Fedora e no kernel principal.
DirtyDecrypt surgiu em meio a uma série de produtos similares. Linux Vulnerabilidades de LPE. Divulgadas anteriormente. Falha na cópia em algif_aead, Fragmento sujo em componentes de rede, e então Fragnesia em XFRM ESP-em-TCP Microsoft descrito Dirty Frag é uma vulnerabilidade de escalonamento de privilégios local que utiliza os componentes esp4, esp6 e rxrpc, permitindo que um atacante obtenha acesso local e conquiste uma posição de vantagem no sistema.
O perigo prático desses erros reside no fato de que eles são frequentemente explorados após a violação inicial: por exemplo, após o comprometimento de uma conta SSH, um shell web, um contêiner vulnerável ou um usuário de serviço com privilégios limitados. Tendo obtido acesso root, um atacante pode desativar controles de segurança, ler segredos, modificar logs, implementar persistência e avançar ainda mais pela infraestrutura.
Usuários de distribuições rolling release potencialmente afetadas são aconselhados a instalar as atualizações mais recentes do kernel. Para sistemas onde atualizações imediatas não são possíveis, as publicações mencionam soluções temporárias, como desativar módulos rxrpc não utilizados e componentes relacionados. No entanto, essas soluções alternativas podem afetar o AFS e alguns cenários de IPsec/VPN, portanto, devem ser aplicadas somente após a confirmação do impacto em um sistema específico.
Para a maioria das instalações de desktop e servidor, o risco provavelmente é menor do que o de falha de cópia: DirtyDecrypt requer uma configuração específica do kernel e execução de código local. No entanto, para Fedora, Arch LinuxEm sistemas como o openSUSE Tumbleweed e outros com atualizações rápidas do kernel, o problema merece atenção: não se trata mais de um relato teórico, mas de uma vulnerabilidade com prova de conceito publicada e um caminho claro para a escalada de privilégios.
Fonte: linux.org.ru
