Një provë koncepti për dobësinë është publikuar. DirtyDecrypt, i njohur edhe si DirtyCBC, duke i lejuar një përdoruesi lokal pa privilegje të fitojë privilegje rrënjë në disa sisteme LinuxProblemi është në kod. rxgk nënsistemet RxRPC dhe lidhet me një shkrim në memorien e përkohshme të faqes për shkak të mungesës së një kontrolli kopjimi gjatë shkrimit në funksionin rxgk_decrypt_skb(). PoC u publikua më 18 maj 2026 nga BleepingComputer; vetë PoC është postuar në Depozitat e ekipit V12.
RxRPC është një protokoll rrjeti kernel. Linux mbi UDP, duke siguruar transport të besueshëm për operacione në distancë. Dokumentacioni i kernelit thotë konkretisht se AFS — Andrew File System është një shembull i një aplikacioni që përdor RxRPC, dhe vetë protokolli mbështet negociatat e sigurisë së lidhjes. Këtu hyn në lojë RxGK, i përdorur për modalitetin e sigurt të RxRPC/AFS.
Sipas përshkrimit të V12, DirtyDecrypt është një variant tjetër i klasës së dobësive. CopyFail / Dirty Frag / FragnesiaTë gjitha këto sillen rreth një ideje të ngjashme: manipulimi i gabuar i memories kernel, memorjes së faqes cache dhe bufferave mund të lejojë që një proces lokal i paprivilegjuar të ndikojë në të dhëna që duhet të jenë të pashkrueshme. Në rastin e DirtyDecrypt, ky është një "shkrim rxgk pagecache" për shkak të mungesës së mbrojtjes COW në rxgk_decrypt_skb().
Ekipi i V12 pretendon se e ka zbuluar dhe raportuar problemin. 9 Maj vit 2026, por mirëmbajtësit e bërthamës u përgjigjën se ishte një kopje e një gabimi të rregulluar tashmë. Studiuesit më pas publikuan një provë koncepti, duke pretenduar se rregullimi ishte tashmë në bërthamën kryesore.
Situata me CVE-të nuk duket krejtësisht e thjeshtë. BleepingComputer raporton se nuk ka një CVE zyrtare të veçantë për emrin DirtyDecrypt në kohën e publikimit, por analisti Will Dormann i lidh detajet e publikuara nga V12 me CVE-2026-31635, e rregulluar në fund të prillit. NVD e përshkruan CVE-2026-31635 si një gabim në rxrpc: funksioni rxgk_verify_response() kontrolloi gabimisht gjatësinë e autentifikuesit RESPONSE, gjë që mund të rezultojë në kalimin e një autentifikuesi tepër të gjatë te rxgk_decrypt_skb() dhe duke shkaktuar dështimin e kodit BUG_ON(len).
Kjo do të thotë, botimet e disponueshme publikisht lidhin DirtyDecrypt me CVE-2026-31635, por përshkrimi formal i CVE në NVD aktualisht duket më i ngushtë dhe i referohet kryesisht një gabimi të kontrollit të gjatësisë në rxrpc, në vend që të referohet drejtpërdrejt pseudonimit DirtyDecrypt/DirtyCBC si një hyrje e veçantë. Prandaj, është më korrekte të shkruhet: DirtyDecrypt ka të ngjarë të jetë në përputhje ose i lidhur ngushtë me CVE-2026-31635., në vend që të pretendojë se është emri zyrtar i CVE-së.
Një bërthamë me këtë opsion të aktivizuar është e nevojshme për funksionimin. CONFIG_RXGK, e cila përfshin mbështetjen RxGK për klientin AFS dhe transportin e rrjetit. Kjo e ngushton ndjeshëm gamën e sistemeve të prekura: kryesisht, ka të bëjë me shpërndarjet që ndjekin shpejt kernelin e rrjedhës së sipërme, duke përfshirë Fedora, Hark Linux и openSUSE TumbleweedBleepingComputer thekson se V12 PoC i publikuar u testua vetëm në Fedora dhe kernelin kryesor.
DirtyDecrypt u shfaq në sfondin e një serie të tërë produktesh të ngjashme. Linux Dobësitë e LPE-së. Të zbuluara më parë Kopjimi dështoi në algif_aead, Fragment i ndyrë në komponentët e rrjetit, dhe pastaj Fragnesia në XFRM ESP-në-TCP Microsoft përshkruar Dirty Frag si një përshkallëzim i privilegjeve lokale përmes komponentëve esp4, esp6 dhe rxrpc, duke i lejuar një sulmuesi të fitojë akses lokal dhe të fitojë një pikëmbështetje në sistem.
Rreziku praktik i gabimeve të tilla është se ato shpesh shfrytëzohen pas shkeljes fillestare: për shembull, pas kompromentimit të një llogarie SSH, shell-i web, kontejneri të cenueshëm ose përdoruesi të shërbimit me privilegje të ulëta. Pasi të ketë fituar akses root, një sulmues mund të çaktivizojë kontrollet e sigurisë, të lexojë sekretet, të modifikojë regjistrat, të vendosë persistencë dhe të lëvizë më tej nëpër infrastrukturë.
Përdoruesve të shpërndarjeve me version rrotullues që mund të preken këshillohen të instalojnë përditësimet më të fundit të kernel-it. Për sistemet ku përditësimet e menjëhershme nuk janë të mundshme, publikimet përmendin zgjidhje të përkohshme, të tilla si çaktivizimi i moduleve rxrpc të papërdorura dhe komponentëve të lidhur me to. Megjithatë, zgjidhje të tilla alternative mund të prishin AFS dhe disa skenarë IPsec/VPN, kështu që ato duhet të aplikohen vetëm pasi të konfirmohet ndikimi në një sistem specifik.
Për shumicën e instalimeve në desktop dhe server, rreziku është ka të ngjarë më i ulët se sa në rastin e dështimit të kopjimit: DirtyDecrypt kërkon një konfigurim specifik të kernelit dhe ekzekutim të kodit lokal. Megjithatë, për Fedora, Arch Linux, openSUSE Tumbleweed dhe sisteme të tjera me përditësime të shpejta të bërthamës, çështja meriton vëmendje: nuk është më një raport teorik, por një dobësi me një provë koncepti të publikuar dhe një rrugë të qartë drejt përshkallëzimit të privilegjeve.
Burimi: linux.org.ru
