Опубліковано proof-of-concept для вразливості DirtyDecrypt, також відомий як DirtyCBC, що дозволяє локальному непривілейованому користувачеві отримати права root на деяких системах Linux. Проблема знаходиться в коді rxgk підсистеми RxRPC і пов'язана із записом у page cache через відсутню перевірку copy-on-write у функції rxgk_decrypt_skb(). Про публікацію PoC 18 травня 2026 повідомило видання BleepingComputer; сам PoC розміщений у репозиторії команди V12.
RxRPC - це мережевий протокол ядра Linux поверх UDP, що надає надійний транспорт для дистанційних операцій. У документації ядра окремо зазначено, що AFS — Andrew File System — приклад прикладної програми, яка використовує RxRPC, а сам протокол підтримує переговори про безпеку з'єднання. Саме до цієї області відноситься RxGK, який використовується для захищеного режиму RxRPC/AFS.
За описом V12, DirtyDecrypt є ще одним варіантом уразливостей класу CopyFail / Dirty Frag / Fragnesia. Всі вони обертаються навколо схожої ідеї: некоректна робота з пам'яттю ядра, page cache та буферами може дозволити непривілейованому локальному процесу вплинути на дані, які мають бути недоступними для запису. У випадку DirtyDecrypt мова йде про «rxgk pagecache write» через відсутність COW-захисту в rxgk_decrypt_skb().
Команда V12 стверджує, що виявила та повідомила про проблему 9 травня 2026 рокуАле супроводжуючі ядра відповіли, що це дублікат вже виправленої помилки. Після цього дослідники опублікували PoC, мотивуючи це тим, що виправлення вже знаходиться у mainline-ядрі.
З CVE ситуація виглядає не зовсім прямолінійно. BleepingComputer пише, що окремого офіційного CVE саме для імені DirtyDecrypt на момент публікації немає, але аналітик Will Dormann пов'язує опубліковані V12 деталі CVE-2026-31635, виправленою наприкінці квітня. В базі NVD CVE-2026-31635 описана як помилка в rxrpc: функція rxgk_verify_response() некоректно перевіряла довжину RESPONSE-автентифікатора, через що занадто великий аутентифікатор міг потрапити в rxgsk_dec BUG_ON(len).
Тобто загальнодоступні публікації пов'язують DirtyDecrypt з CVE-2026-31635, але формальний опис CVE в NVD поки виглядає вужчим і говорить насамперед про помилку перевірки довжини в rxrpc, а не прямо про alias DirtyDecrypt/DirtyCBC як окремий запис. Тому коректніше писати: DirtyDecrypt, ймовірно, відповідає або тісно пов'язаний з CVE-2026-31635а не стверджувати, що це офіційне ім'я CVE.
Для експлуатації потрібне ядро з увімкненою опцією CONFIG_RXGKяка включає підтримку RxGK для AFS-клієнта та мережевого транспорту. Це помітно звужує коло порушених систем: в першу чергу йдеться про дистрибутиви, що швидко йдуть за upstream-ядром, включаючи Fedora, арка Linux и openSUSE Tumbleweed. При цьому BleepingComputer підкреслює, що опублікований V12 PoC перевірявся лише на Fedora та mainline-ядрі.
DirtyDecrypt з'явився на тлі цілої серії близьких за класом Linux LPE-уразливостей. Раніше були розкриті Не вдалося копіювати в algif_aead, Брудний Фраг у мережевих компонентах, а потім Франнезія в XFRM ESP-in-TCP. Microsoft описувала Dirty Frag як локальне підвищення привілеїв через компоненти esp4, esp6 і rxrpc, що дозволяє атакуючому після отримання локального доступу піднятися до root і закріпитися в системі.
Практична небезпека таких помилок у тому, що вони часто використовуються вже після первинного злому: наприклад, після компрометації SSH-обліку, web-shell, вразливого контейнера або низькопривілейованого сервісного користувача. Отримавши root, атакуючий може відключати засоби захисту, читати секрети, змінювати журнали, розгортати persistence і рухатися далі інфраструктурою.
Користувачам потенційно порушених rolling-release-дистрибутивів рекомендується встановити останні оновлення ядра. Для систем, де негайне оновлення неможливе, у публікаціях згадуються тимчасові заходи на кшталт відключення невикористовуваних rxrpc-модулів та зв'язаних компонентів, проте такі обхідні рішення можуть зламати AFS та частину IPsec/VPN-сценаріїв, тому застосовувати їх потрібно лише після перевірки впливу на конкретну систему.
Для більшості настільних та серверних установок ризик, ймовірно, нижчий, ніж у Copy Fail: DirtyDecrypt потребує наявності конкретної конфігурації ядра та локального виконання коду. Тим не менш для Fedora, Arch Linux, openSUSE Tumbleweed та інших систем зі швидким оновленням ядра проблема заслуговує на увагу: це вже не теоретичний звіт, а вразливість з опублікованим PoC і зрозумілим шляхом до підвищення привілеїв.
Джерело: linux.org.ru
