خطرے کے تصور کا ثبوت شائع کیا گیا ہے۔ DirtyDecryptکے نام سے بھی جانا جاتا ہے۔ ڈرٹی سی بی سی، ایک مقامی غیر مراعات یافتہ صارف کو کچھ سسٹمز پر روٹ مراعات حاصل کرنے کی اجازت دیتا ہے۔ Linuxمسئلہ کوڈ میں ہے۔ rxgk ذیلی نظام RxRPC اور rxgk_decrypt_skb() فنکشن میں کاپی آن رائٹ چیک غائب ہونے کی وجہ سے صفحہ کیش رائٹ سے متعلق ہے۔ PoC 18 مئی 2026 کو Bleeping Computer کے ذریعے شائع کیا گیا تھا۔ پی او سی خود تعینات ہے۔ V12 ٹیم ریپوزٹریز.
RxRPC ایک کرنل نیٹ ورک پروٹوکول ہے۔ Linux UDP سے زیادہ، ریموٹ آپریشنز کے لیے قابل اعتماد ٹرانسپورٹ فراہم کرنا۔ دانا کی دستاویزات خاص طور پر بتاتی ہیں۔ AFS - اینڈریو فائل سسٹم ایک ایپلیکیشن کی مثال ہے جو RxRPC استعمال کرتی ہے، اور پروٹوکول خود کنکشن سیکیورٹی مذاکرات کی حمایت کرتا ہے۔ یہ وہ جگہ ہے جہاں RxGK، RxRPC/AFS کے محفوظ موڈ کے لیے استعمال ہوتا ہے، عمل میں آتا ہے۔
V12 کی تفصیل کے مطابق، DirtyDecrypt کمزوریوں کی کلاس کی ایک اور قسم ہے۔ CopyFail/Drty Frag/Fragnesiaیہ سب ایک ہی خیال کے گرد گھومتے ہیں: کرنل میموری، پیج کیشے، اور بفرز کی غلط ہیرا پھیری غیر مراعات یافتہ مقامی عمل کو ڈیٹا کو متاثر کرنے کی اجازت دے سکتی ہے جو کہ ناقابل تحریر ہونا چاہیے۔ DirtyDecrypt کے معاملے میں، rxgk_decrypt_skb() میں COW تحفظ غائب ہونے کی وجہ سے یہ "rxgk pagecache write" ہے۔
V12 ٹیم نے اس مسئلے کو دریافت کرنے اور اس کی اطلاع دینے کا دعویٰ کیا ہے۔ 9 مئی 2026 سال، لیکن کرنل مینٹینرز نے جواب دیا کہ یہ پہلے سے طے شدہ بگ کا ڈپلیکیٹ تھا۔ اس کے بعد محققین نے تصور کا ثبوت شائع کیا، جس میں یہ دعویٰ کیا گیا کہ اصلاح پہلے سے ہی مین لائن کرنل میں موجود تھی۔
CVEs کے ساتھ صورتحال بالکل سیدھی نہیں لگتی۔ BleepingComputer نے اطلاع دی ہے کہ اشاعت کے وقت DirtyDecrypt نام کے لیے کوئی علیحدہ سرکاری CVE موجود نہیں ہے، لیکن تجزیہ کار ول ڈورمن V12 کی طرف سے شائع کردہ تفصیلات کو لنک کرتا ہے۔ CVE-2026-31635، اپریل کے آخر میں طے شدہ۔ NVD نے CVE-2026-31635 کو rxrpc میں ایک غلطی کے طور پر بیان کیا ہے: rxgk_verify_response() فنکشن نے RESPONSE authenticator کی لمبائی کو غلط طریقے سے چیک کیا، جس کے نتیجے میں ایک حد سے زیادہ لمبا توثیق کنندہ rxgk_bk_decryptus (face_decryptus) کو منتقل کیا جا سکتا ہے۔ BUG_ON(len)۔
یعنی عوامی طور پر دستیاب اشاعتیں DirtyDecrypt سے لنک کرتی ہیں۔ CVE-2026-31635، لیکن NVD میں رسمی CVE تفصیل فی الحال زیادہ تنگ نظر آتی ہے اور بنیادی طور پر rxrpc میں لمبائی کی جانچ کی غلطی کی طرف اشارہ کرتی ہے، بجائے اس کے کہ براہ راست DirtyDecrypt/DirtyCBC عرف کو الگ اندراج کے طور پر۔ لہذا، یہ لکھنا زیادہ درست ہے: DirtyDecrypt ممکنہ طور پر CVE-2026-31635 کے ساتھ مطابقت رکھتا ہے یا اس سے قریبی تعلق رکھتا ہے، یہ دعوی کرنے کے بجائے کہ یہ سرکاری CVE نام ہے۔
اس اختیار کو فعال کرنے کے لیے ایک دانا ضروری ہے۔ CONFIG_RXGKجس میں AFS کلائنٹ اور نیٹ ورک ٹرانسپورٹ کے لیے RxGK سپورٹ شامل ہے۔ یہ متاثرہ نظاموں کی حد کو نمایاں طور پر تنگ کرتا ہے: بنیادی طور پر، یہ ان تقسیموں سے متعلق ہے جو اپ اسٹریم کرنل کی تیزی سے پیروی کرتے ہیں، بشمول Fedora, قوس Linux и کھلی سوسک تمبلویڈBleepingComputer اس بات پر زور دیتا ہے کہ شائع شدہ V12 PoC کا تجربہ صرف Fedora اور مین لائن کرنل پر کیا گیا تھا۔
DirtyDecrypt اسی طرح کی مصنوعات کی ایک پوری سیریز کے پس منظر میں ابھرا۔ Linux ایل پی ای کے خطرات۔ پہلے انکشاف کیا گیا تھا۔ فائل کاپی کریں۔ algif_aead میں، گندا فریگ نیٹ ورک کے اجزاء میں، اور پھر فریگنیشیا XFRM ESP-in-TCP Microsoft میں بیان کیا esp4، esp6، اور rxrpc اجزاء کے ذریعے ایک مقامی استحقاق میں اضافے کے طور پر ڈرٹی فریگ، جس سے حملہ آور کو مقامی رسائی حاصل کرنے اور سسٹم میں قدم جمانے کی اجازت ملتی ہے۔
اس طرح کی غلطیوں کا عملی خطرہ یہ ہے کہ ابتدائی خلاف ورزی کے بعد اکثر ان کا استحصال کیا جاتا ہے: مثال کے طور پر، SSH اکاؤنٹ، ویب شیل، کمزور کنٹینر، یا کم مراعات یافتہ سروس صارف سے سمجھوتہ کرنے کے بعد۔ جڑ تک رسائی حاصل کرنے کے بعد، حملہ آور سیکورٹی کنٹرول کو غیر فعال کر سکتا ہے، راز پڑھ سکتا ہے، لاگز میں ترمیم کر سکتا ہے، استقامت کو تعینات کر سکتا ہے، اور انفراسٹرکچر کے ذریعے مزید آگے بڑھ سکتا ہے۔
ممکنہ طور پر متاثرہ رولنگ ریلیز ڈسٹری بیوشن کے صارفین کو تازہ ترین کرنل اپ ڈیٹس انسٹال کرنے کا مشورہ دیا جاتا ہے۔ ایسے سسٹمز کے لیے جہاں فوری اپ ڈیٹ ممکن نہیں، اشاعتیں عارضی حلوں کا ذکر کرتی ہیں جیسے کہ غیر استعمال شدہ rxrpc ماڈیولز اور متعلقہ اجزاء کو غیر فعال کرنا۔ تاہم، اس طرح کے حل AFS اور کچھ IPsec/VPN منظرناموں کو توڑ سکتے ہیں، لہذا ان کا اطلاق کسی مخصوص سسٹم پر اثر کی تصدیق کے بعد ہی کیا جانا چاہیے۔
زیادہ تر ڈیسک ٹاپ اور سرور تنصیبات کے لیے، خطرہ کاپی فیل سے کم ہونے کا امکان ہے: DirtyDecrypt کے لیے ایک مخصوص کرنل کنفیگریشن اور مقامی کوڈ پر عمل درآمد کی ضرورت ہوتی ہے۔ تاہم، فیڈورا کے لیے، آرک Linux, openSUSE Tumbleweed، اور دیگر سسٹمز جن میں تیز رفتار کرنل اپ ڈیٹس ہیں، یہ مسئلہ توجہ کا مستحق ہے: یہ اب کوئی نظریاتی رپورٹ نہیں ہے، بلکہ تصور کے شائع شدہ ثبوت اور استحقاق میں اضافے کے واضح راستے کے ساتھ ایک کمزوری ہے۔
ماخذ: linux.org.ru
