Ett koncepttest för sårbarheten har publicerats. DirtyDecrypt, även känd som SmutsigCBC, vilket gör det möjligt för en lokal oprivilegierad användare att få root-behörigheter på vissa system LinuxProblemet ligger i koden. rxgk delsystem RxRPC och är relaterad till en sidcacheskrivning på grund av en saknad kopierings-vid-skrivning-kontroll i rxgk_decrypt_skb()-funktionen. PoC:n publicerades den 18 maj 2026 av BleepingComputer; själva PoC:n är publicerad i V12-teamförråd.
RxRPC är ett kärnnätverksprotokoll. Linux över UDP, vilket ger tillförlitlig transport för fjärroperationer. Kärndokumentationen anger specifikt att AFS — Andrew File System är ett exempel på en applikation som använder RxRPC, och själva protokollet stöder förhandlingar om anslutningssäkerhet. Det är här RxGK, som används för det säkra läget RxRPC/AFS, kommer in i bilden.
Enligt V12-beskrivningen är DirtyDecrypt ytterligare en variant av klassen av sårbarheter CopyFail / Dirty Frag / FragnesiaDe kretsar alla kring en liknande idé: felaktig manipulation av kärnminne, sidcache och buffertar kan tillåta att en oprivilegierad lokal process påverkar data som borde vara oskrivbar. I fallet med DirtyDecrypt är detta en "rxgk pagecache-skrivning" på grund av det saknade COW-skyddet i rxgk_decrypt_skb().
V12-teamet hävdar att de har upptäckt och rapporterat problemet. 9 maj 2026 år, men kärnans ansvariga svarade att det var en kopia av en redan åtgärdad bugg. Forskarna publicerade sedan ett proof-of-concept och hävdade att korrigeringen redan fanns i den huvudsakliga kärnan.
Situationen med CVE:er verkar inte helt enkel. BleepingComputer rapporterar att det inte finns någon separat officiell CVE för namnet DirtyDecrypt vid tidpunkten för publiceringen, men analytikern Will Dormann länkar detaljerna som publicerats av V12 till CVE-2026-31635, åtgärdad i slutet av april. NVD beskriver CVE-2026-31635 som ett fel i rxrpc: funktionen rxgk_verify_response() kontrollerade felaktigt längden på RESPONSE-autentiseraren, vilket kunde resultera i att en alltför lång autentiserare skickades till rxgk_decrypt_skb() och orsakade att koden misslyckades BUG_ON(len).
Det vill säga, offentligt tillgängliga publikationer länkar DirtyDecrypt till CVE-2026-31635, men den formella CVE-beskrivningen i NVD verkar för närvarande snävare och hänvisar främst till ett längdkontrollfel i rxrpc, snarare än direkt till DirtyDecrypt/DirtyCBC-aliaset som en separat post. Därför är det mer korrekt att skriva: DirtyDecrypt är sannolikt förenligt med eller nära relaterat till CVE-2026-31635, snarare än att påstå att det är det officiella CVE-namnet.
En kärna med det här alternativet aktiverat krävs för drift. CONFIG_RXGK, vilket inkluderar RxGK-stöd för AFS-klienten och nätverkstransport. Detta begränsar avsevärt antalet berörda system: främst gäller det distributioner som snabbt följer uppströmskärnan, inklusive fedora, Arch Linux и openSUSE TumbleweedBleepingComputer betonar att den publicerade V12 PoC endast testades på Fedora och huvudkärnan.
DirtyDecrypt dök upp mot bakgrund av en hel serie liknande produkter Linux LPE-sårbarheter. Tidigare avslöjade Kopieringsmisslyckades i algif_aead, Smutsig frag i nätverkskomponenter, och sedan Fragnesia i XFRM ESP-i-TCP Microsoft beskrivs Dirty Frag som en lokal privilegieeskalering genom esp4-, esp6- och rxrpc-komponenterna, vilket gör det möjligt för en angripare att få lokal åtkomst och få fotfäste i systemet.
Den praktiska faran med sådana fel är att de ofta utnyttjas efter det initiala intrånget: till exempel efter att ett SSH-konto, webbskal, sårbar container eller lågprivilegierad tjänstanvändare har komprometterats. Efter att ha fått root-åtkomst kan en angripare inaktivera säkerhetskontroller, läsa hemligheter, ändra loggar, distribuera persistens och förflytta sig vidare genom infrastrukturen.
Användare av potentiellt berörda distributioner med rolling-release rekommenderas att installera de senaste kärnuppdateringarna. För system där omedelbara uppdateringar inte är möjliga nämner publikationerna tillfälliga lösningar som att inaktivera oanvända rxrpc-moduler och relaterade komponenter. Sådana lösningar kan dock orsaka problem med AFS och vissa IPsec/VPN-scenarier, så de bör endast tillämpas efter att ha bekräftat påverkan på ett specifikt system.
För de flesta skrivbords- och serverinstallationer är risken sannolikt lägre än Copy Fail: DirtyDecrypt kräver en specifik kärnkonfiguration och lokal kodkörning. För Fedora, Arch Linux, openSUSE Tumbleweed och andra system med snabba kärnuppdateringar, förtjänar problemet uppmärksamhet: det är inte längre en teoretisk rapport, utan en sårbarhet med ett publicerat konceptbevis och en tydlig väg till privilegieupptrappning.
Källa: linux.org.ru
