Објављен је доказ концепта за рањивост. ПрљавоДешифровање, такође познат као DirtyCBC, што омогућава локалном непривилегованом кориснику да добије root привилегије на неким системима LinuxПроблем је у коду. rxgk подсистеми РкРПЦ и повезан је са писањем у кеш меморију странице због недостајуће провере копирања при писању у функцији rxgk_decrypt_skb(). Потврда о поређењу (PoC) је објављена 18. маја 2026. године од стране BleepingComputer-а; сам PoC је објављен у V12 тимски репозиторијуми.
RxRPC је мрежни протокол језгра. Linux преко UDP-а, обезбеђујући поуздан транспорт за удаљене операције. Документација језгра посебно наводи да АФС — Ендруов фајл систем је пример апликације која користи RxRPC, а сам протокол подржава преговоре о безбедности везе. Ту до изражаја долази RxGK, који се користи за безбедан режим RxRPC/AFS.
Према опису V12, DirtyDecrypt је још једна варијанта класе рањивости. CopyFail / Dirty Frag / FragnesiaСви се врте око сличне идеје: неправилна манипулација меморијом језгра, кеш меморијом страница и баферима може дозволити непривилегованом локалном процесу да утиче на податке који би требало да буду неписиви. У случају DirtyDecrypt-а, ово је „rxgk pagecache write“ због недостајуће COW заштите у rxgk_decrypt_skb().
Тим V12 тврди да је открио и пријавио проблем. КСНУМКС мај године КСНУМКС, али су одржаваоци кернела одговорили да је то дупликат већ исправљене грешке. Истраживачи су потом објавили доказ концепта, тврдећи да је исправка већ у главном кернелу.
Ситуација са CVE-овима не делује сасвим једноставно. BleepingComputer извештава да у време објављивања не постоји посебан званични CVE за име DirtyDecrypt, али аналитичар Вил Дорман повезује детаље које је објавио V12 са ЦВЕ-КСНУМКС-КСНУМКС, исправљено крајем априла. NVD описује CVE-2026-31635 као грешку у rxrpc: функција rxgk_verify_response() је погрешно проверила дужину RESPONSE аутентификатора, што је могло довести до тога да се превише дугачак аутентификатор проследи rxgk_decrypt_skb() и изазове неуспех кода BUG_ON(len).
То јест, јавно доступне публикације повезују DirtyDecrypt са ЦВЕ-КСНУМКС-КСНУМКС, али формални опис CVE у NVD-у тренутно делује ужи и првенствено се односи на грешку провере дужине у rxrpc, а не директно на алиас DirtyDecrypt/DirtyCBC као посебан унос. Стога је исправније написати: DirtyDecrypt је вероватно у складу са или уско повезан са CVE-2026-31635, уместо да тврди да је то званични назив CVE.
За рад је потребно језгро са овом омогућеном опцијом. CONFIG_RXGK, што укључује RxGK подршку за AFS клијента и мрежни транспорт. Ово значајно сужава опсег погођених система: првенствено се односи на дистрибуције које брзо прате узводно језгро, укључујући федора, Свод Linux и опенСУСЕ ТумблевеедBleepingComputer наглашава да је објављени V12 PoC тестиран само на Fedora-и и главном кернелу.
DirtyDecrypt се појавио на позадини читавог низа сличних производа Linux Рањивости LPE-а. Претходно откривене Копирање није успело у алгиф_аеад, Прљави фраг у мрежним компонентама, а затим Франнезија у XFRM-у ESP-у-TCP-у Microsoft-а описано Прљави фраг као локална ескалација привилегија путем компоненти esp4, esp6 и rxrpc, омогућавајући нападачу да добије локални приступ и учврсти се у систему.
Практична опасност од таквих грешака је у томе што се често злоупотребљавају након почетног пробоја: на пример, након угрожавања SSH налога, веб шкољке, рањивог контејнера или корисника сервиса са ниским привилегијама. Након што добије root приступ, нападач може да онемогући безбедносне контроле, чита тајне, мења логове, распореди перзистентност и креће се даље кроз инфраструктуру.
Корисницима потенцијално погођених дистрибуција са сталним издањима саветује се да инсталирају најновија ажурирања језгра. За системе где тренутна ажурирања нису могућа, публикације помињу привремена решења као што је онемогућавање некоришћених rxrpc модула и повезаних компоненти. Међутим, таква заобилазна решења могу да поремете AFS и неке IPsec/VPN сценарије, па их треба примењивати тек након потврде утицаја на одређени систем.
За већину десктоп и серверских инсталација, ризик је вероватно мањи од неуспелог копирања: DirtyDecrypt захтева специфичну конфигурацију језгра и локално извршавање кода. Међутим, за Fedora-у, Arch Linux, openSUSE Tumbleweed и другим системима са брзим ажурирањима језгра, проблем заслужује пажњу: више није теоријски извештај, већ рањивост са објављеним доказом концепта и јасним путем до ескалације привилегија.
Извор: линук.орг.ру
