Isang patunay ng konsepto para sa kahinaan ang nailathala na. DirtyDecrypt, kilala rin bilang DirtyCBC, na nagpapahintulot sa isang lokal na walang pribilehiyong gumagamit na makakuha ng mga pribilehiyo sa pag-root sa ilang mga sistema LinuxNasa code ang problema. rxgk mga subsistema RxRPC at nauugnay sa isang pagsusulat ng cache ng pahina dahil sa nawawalang copy-on-write check sa rxgk_decrypt_skb() function. Ang PoC ay inilathala noong Mayo 18, 2026, ng BleepingComputer; ang PoC mismo ay nai-post sa Mga repositoryo ng koponan ng V12.
Ang RxRPC ay isang protokol ng kernel network. Linux sa pamamagitan ng UDP, na nagbibigay ng maaasahang transportasyon para sa mga malayuang operasyon. Partikular na nakasaad sa dokumentasyon ng kernel na AFS — Ang Andrew File System ay isang halimbawa ng isang aplikasyon na gumagamit ng RxRPC, at ang protocol mismo ay sumusuporta sa mga negosasyon sa seguridad ng koneksyon. Dito pumapasok ang RxGK, na ginagamit para sa secure mode ng RxRPC/AFS.
Ayon sa paglalarawan ng V12, ang DirtyDecrypt ay isa pang variant ng klase ng mga kahinaan. CopyFail / Dirty Frag / FragnesiaLahat sila ay umiikot sa isang magkatulad na ideya: ang maling manipulasyon ng kernel memory, page cache, at mga buffer ay maaaring magpahintulot sa isang hindi pribilehiyadong lokal na proseso na makaapekto sa data na dapat ay hindi maisusulat. Sa kaso ng DirtyDecrypt, ito ay isang "rxgk pagecache write" dahil sa nawawalang proteksyon ng COW sa rxgk_decrypt_skb().
Inaangkin ng pangkat ng V12 na natuklasan at naiulat nila ang isyu. 9 Mayo 2026 taon, ngunit tumugon ang mga tagapangalaga ng kernel na ito ay isang duplikado ng isang naayos nang bug. Pagkatapos ay naglathala ang mga mananaliksik ng isang patunay ng konsepto, na inaangkin na ang pag-aayos ay nasa mainline kernel na.
Ang sitwasyon sa mga CVE ay tila hindi lubos na diretso. Iniulat ng BleepingComputer na walang hiwalay na opisyal na CVE para sa pangalang DirtyDecrypt sa oras ng paglalathala, ngunit iniuugnay ng analyst na si Will Dormann ang mga detalyeng inilathala ng V12 sa CVE-2026-31635, naayos sa katapusan ng Abril. Inilalarawan ng NVD ang CVE-2026-31635 bilang isang error sa rxrpc: maling sinuri ng rxgk_verify_response() function ang haba ng RESPONSE authenticator, na maaaring magresulta sa pagpapasa ng sobrang haba ng authenticator sa rxgk_decrypt_skb() at maging sanhi ng pagkabigo ng code na BUG_ON(len).
Ibig sabihin, iniuugnay ng mga pampublikong publikasyon ang DirtyDecrypt sa CVE-2026-31635, ngunit ang pormal na paglalarawan ng CVE sa NVD ay kasalukuyang lumilitaw na mas makitid at pangunahing tumutukoy sa isang error sa pagsusuri ng haba sa rxrpc, sa halip na direkta sa alias na DirtyDecrypt/DirtyCBC bilang isang hiwalay na entry. Samakatuwid, mas tamang isulat: Ang DirtyDecrypt ay malamang na naaayon o malapit na nauugnay sa CVE-2026-31635., sa halip na angkinin na ito ang opisyal na pangalan ng CVE.
Kinakailangan ang isang kernel na may naka-enable na opsyong ito para sa operasyon. CONFIG_RXGK, na kinabibilangan ng suporta ng RxGK para sa AFS client at network transport. Pinapaliit nito nang malaki ang saklaw ng mga apektadong sistema: pangunahin na, patungkol ito sa mga distribusyon na mabilis na sumusunod sa upstream kernel, kabilang ang Fedora, Arko Linux и openSUSE TumbleweedBinibigyang-diin ng BleepingComputer na ang nailathalang V12 PoC ay sinubukan lamang sa Fedora at sa mainline kernel.
Lumitaw ang DirtyDecrypt laban sa backdrop ng isang buong serye ng mga katulad na produkto Linux Mga kahinaan ng LPE. Naunang isiniwalat Nabigo ang Kopya sa algif_aead, Marumi na Frag sa mga bahagi ng network, at pagkatapos Fragnesia sa XFRM ESP-sa-TCP Microsoft inilarawan Ang Dirty Frag bilang isang local privilege escalation sa pamamagitan ng esp4, esp6, at rxrpc components, na nagpapahintulot sa isang attacker na makakuha ng local access at magkaroon ng foothold sa system.
Ang praktikal na panganib ng ganitong mga error ay madalas itong sinasamantala pagkatapos ng unang paglabag: halimbawa, pagkatapos makompromiso ang isang SSH account, web shell, vulnerable container, o low-privileged service user. Kapag nakakuha na ng root access, maaaring i-disable ng isang attacker ang mga kontrol sa seguridad, magbasa ng mga sikreto, magbago ng mga log, mag-deploy ng persistence, at magpatuloy pa sa imprastraktura.
Ang mga gumagamit ng mga rolling-release distribution na maaaring maapektuhan ay pinapayuhan na i-install ang mga pinakabagong kernel update. Para sa mga system kung saan hindi posible ang agarang pag-update, binabanggit sa mga publikasyon ang mga pansamantalang solusyon tulad ng pag-disable sa mga hindi nagamit na rxrpc module at mga kaugnay na component. Gayunpaman, ang mga ganitong workaround ay maaaring makasira sa AFS at ilang mga senaryo ng IPsec/VPN, kaya dapat lamang itong ilapat pagkatapos kumpirmahin ang epekto sa isang partikular na system.
Para sa karamihan ng mga instalasyon sa desktop at server, ang panganib ay malamang na mas mababa kaysa sa Copy Fail: Ang DirtyDecrypt ay nangangailangan ng isang partikular na configuration ng kernel at pagpapatupad ng lokal na code. Gayunpaman, para sa Fedora, Arch Linux, openSUSE Tumbleweed, at iba pang mga system na may mabibilis na pag-update ng kernel, ang isyu ay nararapat bigyan ng pansin: hindi na ito isang teoretikal na ulat, kundi isang kahinaan na may nailathalang patunay ng konsepto at isang malinaw na landas patungo sa pagtaas ng pribilehiyo.
Pinagmulan: linux.org.ru
