O demonstrație a conceptului pentru vulnerabilitate a fost publicată. DirtyDecrypt, cunoscut și sub numele de DirtyCBC, permițând unui utilizator local neprivilegiat să obțină privilegii de root pe anumite sisteme LinuxProblema este în cod. rxgk subsisteme RxRPC și este legată de o scriere în memoria cache a paginii din cauza unei verificări lipsă de copiere la scriere în funcția rxgk_decrypt_skb(). PoC-ul a fost publicat pe 18 mai 2026 de BleepingComputer; PoC-ul în sine este postat în Depozite de echipe V12.
RxRPC este un protocol de rețea al kernelului. Linux prin UDP, oferind transport fiabil pentru operațiuni la distanță. Documentația kernelului precizează în mod specific că AFS — Andrew File System este un exemplu de aplicație care utilizează RxRPC, iar protocolul în sine permite negocierea securității conexiunilor. Aici intervine RxGK, utilizat pentru modul securizat al RxRPC/AFS.
Conform descrierii V12, DirtyDecrypt este o altă variantă a clasei de vulnerabilități CopyFail / Fragmentare murdară / FragnesiaToate se învârt în jurul unei idei similare: manipularea incorectă a memoriei kernelului, a memoriei cache a paginilor și a bufferelor poate permite unui proces local neprivilegiat să afecteze date care ar trebui să fie imposibil de scris. În cazul DirtyDecrypt, aceasta este o „scriere în memoria cache a paginilor rxgk” din cauza lipsei protecției COW din rxgk_decrypt_skb().
Echipa V12 susține că a descoperit și a raportat problema. 9 luna mai a anului 2026, dar administratorii kernelului au răspuns că era un duplicat al unei erori deja corectate. Cercetătorii au publicat apoi o demonstrație de concept, susținând că remedierea era deja în kernelul principal.
Situația cu CVE-urile nu pare complet simplă. BleepingComputer relatează că nu există un CVE oficial separat pentru numele DirtyDecrypt la momentul publicării, dar analistul Will Dormann leagă detaliile publicate de V12 de CVE-2026-31635, remediat la sfârșitul lunii aprilie. NVD descrie CVE-2026-31635 ca o eroare în rxrpc: funcția rxgk_verify_response() a verificat incorect lungimea autentificatorului RESPONSE, ceea ce ar putea duce la transmiterea unui autentificator prea lung către rxgk_decrypt_skb() și la eșecul codului BUG_ON(len).
Adică, publicațiile disponibile publicului leagă DirtyDecrypt de CVE-2026-31635, dar descrierea formală CVE în NVD pare în prezent mai restrânsă și se referă în principal la o eroare de verificare a lungimii în rxrpc, mai degrabă decât direct la aliasul DirtyDecrypt/DirtyCBC ca intrare separată. Prin urmare, este mai corect să scriem: DirtyDecrypt este probabil în concordanță cu sau strâns legat de CVE-2026-31635, în loc să pretindă că este numele oficial CVE.
Un kernel cu această opțiune activată este necesar pentru funcționare. CONFIG_RXGK, care include suport RxGK pentru clientul AFS și transportul în rețea. Acest lucru restrânge semnificativ gama de sisteme afectate: în principal, se referă la distribuțiile care urmează rapid kernelul din amonte, inclusiv Fedora, Arc Linux и OpenSuse TumbleweedBleepingComputer subliniază faptul că PoC-ul V12 publicat a fost testat doar pe Fedora și pe kernelul principal.
DirtyDecrypt a apărut pe fundalul unei serii întregi de produse similare Linux Vulnerabilități LPE. Dezvăluite anterior Copiere eșuată în algif_aead, Fragment murdar în componentele rețelei și apoi Fragnesia în XFRM ESP-in-TCP Microsoft descris Dirty Frag ca o escaladare locală a privilegiilor prin componentele esp4, esp6 și rxrpc, permițând unui atacator să obțină acces local și să pătrundă în sistem.
Pericolul practic al unor astfel de erori este că acestea sunt adesea exploatate după breșa inițială: de exemplu, după compromiterea unui cont SSH, a unei shell-uri web, a unui container vulnerabil sau a unui utilizator de serviciu cu privilegii reduse. După ce a obținut acces root, un atacator poate dezactiva controalele de securitate, poate citi secrete, poate modifica jurnalele, poate implementa persistență și poate avansa prin infrastructură.
Utilizatorilor distribuțiilor cu lansare continuă potențial afectate li se recomandă să instaleze cele mai recente actualizări de kernel. Pentru sistemele în care actualizările imediate nu sunt posibile, publicațiile menționează soluții temporare, cum ar fi dezactivarea modulelor rxrpc neutilizate și a componentelor aferente. Cu toate acestea, astfel de soluții alternative pot defecta AFS și unele scenarii IPsec/VPN, așa că acestea ar trebui aplicate numai după confirmarea impactului asupra unui anumit sistem.
Pentru majoritatea instalărilor desktop și server, riscul este probabil mai mic decât Copy Failure: DirtyDecrypt necesită o configurație specifică a kernelului și executarea de cod local. Cu toate acestea, pentru Fedora, Arch Linux, openSUSE Tumbleweed și alte sisteme cu actualizări rapide ale kernelului, problema merită atenție: nu mai este un raport teoretic, ci o vulnerabilitate cu o demonstrație de concept publicată și o cale clară către escaladarea privilegiilor.
Sursa: linux.org.ru
