Zum Inhalt springen

DirtyDecrypt: Proof-of-Concept für Linux-Kernel-Sicherheitslücke veröffentlicht

Auf den Punkt: Für die Linux-Sicherheitslücke DirtyDecrypt (CVE-2026-31635) existiert nun ein funktionierender Exploit. Die Schwachstelle betrifft primär Distributionen wie Fedora, Arch Linux und openSUSE Tumbleweed. Nutzer sollten Kernel-Updates installieren.

Eine kürzlich gepatchte Sicherheitslücke im Linux-Kernel-Modul rxgk ermöglicht es Angreifern nun, Root-Zugriff auf anfällige Linux-Systeme zu erlangen. Die DirtyDecrypt-Schwachstelle wurde bereits im April repariert, doch ein funktionierender Exploit ist jetzt verfügbar.

Die als DirtyDecrypt oder DirtyCBC bekannte lokale Privilege-Escalation-Schwachstelle wurde bereits von den Kernel-Entwicklern patcht, doch jetzt liegt ein funktionierender Proof-of-Concept-Exploit vor. Das V12-Sicherheitsteam hatte die Lücke am 9. Mai 2026 entdeckt und gemeldet, erfuhr jedoch, dass es sich um ein Duplikat handelte, das bereits in der Hauptlinie repariert wurde. Die Schwachstelle betrifft eine fehlende Copy-on-Write-Sicherung in der Funktion rxgk_decrypt_skb und wird CVE-2026-31635 zugeordnet, die am 25. April patcht wurde.

Betroffen sind Linux-Distributionen, die das CONFIG_RXGK-Konfigurationsoptionen aktivieren, welches RxGK-Sicherheitsunterstützung für das Andrew File System (AFS) bereitstellt. Dies betrifft hauptsächlich Distributionen, die eng den neuesten Upstream-Kernel-Versionen folgen, wie Fedora, Arch Linux und openSUSE Tumbleweed. Der Exploit wurde bislang nur gegen Fedora und den Mainline-Kernel getestet.

DirtyDecrypt gehört zur selben Schwachstellen-Klasse wie andere kürzlich offengelegte Root-Escalation-Flaws wie Dirty Frag, Fragnesia und Copy Fail. Linux-Nutzer auf potenziell betroffenen Distributionen sollten Kernel-Updates sofort installieren. Als temporäre Mitigation können die gleichen Maßnahmen wie bei Dirty Frag angewendet werden, wobei jedoch IPsec-VPNs und AFS-Netzwerk-Dateisysteme beeinträchtigt werden.

Besonders besorgniserregend ist die aktive Ausnutzung der Copy-Fail-Schwachstelle durch Angreifer in der Praxis. Die US-Cybersecurity and Infrastructure Security Agency (CISA) forderte Bundesbehörden auf, ihre Linux-Systeme bis zum 15. Mai zu sichern.

Share on: