Linux 核心 RxGK(RxRPC)相關模組近期修補一項本機提權漏洞,如今已出現概念驗證(PoC)攻擊程式,可能
讓攻擊者在部分 Linux 系統上取得 root 權限。研究人員將其命名為 DirtyDecrypt,亦稱 DirtyCBC。
V12 Security 表示,團隊於 2026 年 5 月 9 日發現並回報此問題,但維護者回覆這是重複回報,因為主線核心已先行修補。V12 指出,
漏洞成因與 rxgk_decrypt_skb 缺少 COW guard 有關,屬於 rxgk pagecache write 問題,並公開 PoC 程式碼供研究參考。
目前官方尚未明確對應 CVE 編號,但漏洞分析師表示,研究人員公布的資訊與
CVE-2026-31635 的細節相符;該 CVE 已於 4 月 25 日完成修補。
研究指出,
要成功利用此漏洞,系統核心必須啟用 CONFIG_RXGK 設定。該選項用於提供 Andrew File System(AFS)用戶端與網路傳輸的 RxGK 安全支援。由於條件限制,受影響範圍較可能集中在緊跟上游核心版本的發行版,例如 Fedora、Arch Linux 與 openSUSE Tumbleweed。不過,V12 的 PoC 目前僅在 Fedora 與主線 Linux 核心上完成測試。
DirtyDecrypt/DirtyCBC 被歸類為近期多起 Linux root 提權漏洞的同類案例之一,包括 Dirty Frag、Fragnesia 與 Copy Fail 等。此外,先前已有消息指出 Copy Fail 漏洞正被攻擊者積極利用;美國網路安全與基礎設施安全局(CISA)已於 5 月 1 日將 Copy Fail 納入已知遭利用漏洞清單,並要求聯邦機關於 5 月 15 日前完成修補。
對可能受影響的 Linux 使用者而言,建議儘速套用最新核心更新。若短期內無法立即更新,可採用 Dirty Frag 曾建議的緩解作法,但此舉可能影響 IPsec VPN 與 AFS 分散式檔案系統運作:
sh -c "printf 'install esp4 /bin/false\\ninstall esp6 /bin/false\\ninstall rxrpc /bin/false\\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"
延伸閱讀:Linux核心新型零時差漏洞Dirty Frag:鏈式攻擊取得Root權限,主流發行版全受影響
本文轉載自 BleepingComputer。