Auf den Punkt: Der DirtyDecrypt-Exploit für CVE-2026-31635 ist nun öffentlich. Die kritische Linux-Kernel-Lücke ermöglicht lokale Privilegienerweiterungen durch einen fehlenden Copy-on-Write-Schutz und betrifft Fedora, Arch Linux und openSUSE Tumbleweed mit aktiviertem CONFIG_RXGK.
Ein Proof-of-Concept-Exploit für die Linux-Kernel-Schwachstelle CVE-2026-31635 ist nun öffentlich verfügbar. Die Sicherheitslücke ermöglicht lokale Privilegienerweiterungen und betrifft Distributionen mit aktiviertem CONFIG_RXGK, darunter Fedora, Arch Linux und openSUSE Tumbleweed.
Die unter dem Namen DirtyDecrypt (auch DirtyCBC) bekannte Schwachstelle wurde von den Sicherheitsteams Zellic und V12 entdeckt und am 9. Mai 2026 gemeldet. Sie resultiert aus einem fehlenden Copy-on-Write-Schutz in der Funktion rxgk_decrypt_skb(), die eingehende Socket-Buffer beim Empfang entschlüsselt.
Das Kernproblem liegt in der unsachgemäßen Behandlung von Speicherseiten, die mit dem Page-Cache anderer Prozesse geteilt werden. Normalerweise schützt ein Copy-on-Write-Mechanismus solche Seiten: Beim Schreiben wird automatisch eine private Kopie erstellt, um Datenlecks zu verhindern. In rxgk_decrypt_skb() fehlt dieser Schutz jedoch. Dies ermöglicht es Angreifern, Daten direkt in den Speicher privilegierter Prozesse oder in den Page-Cache privilegierter Dateien wie /etc/shadow, /etc/sudoers oder SUID-Binärdateien zu schreiben, was zur Privilegienerweiterung führt.
Die Lücke (CVSS-Score: 7.5) wird als Variante mehrerer verwandter Schwachstellen klassifiziert: Copy Fail (CVE-2026-31431), Dirty Frag (CVE-2026-43284 und CVE-2026-43500) und Fragnesia (CVE-2026-46300). In containerisierten Umgebungen könnte die Sicherheitslücke auf anfälligen Worker-Knoten einen Weg zur Pod-Flucht bieten. Die öffentliche Offenlegung folgte nach einem Embargo-Konflikt, als ein zusammengeführter Patch unabhängig analysiert wurde.