2026-05-22 02:51:14 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： DirtyDecrypt（CVE-2026-31635）是Linux内核RxGK子系统的高危本地提权漏洞，因rxgkdecryptskb()函数缺少写时复制保护，允许攻击者通过写入共享页缓存获取root权限。主要影响Fedora、ArchLinux等滚动更新发行版，容器环境中风险加剧可能导致容器逃逸。建议立即更新内核或临时禁用rxrpc等模块，Kubernetes环境需重建工作节点镜像并设置allowPrivilegeEscalation:false。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,Linux内核安全,应急响应,云安全

cover_image

DirtyDecrypt Linux内核漏洞PoC利用代码公开

FreeBuf

2026年5月20日 18:00 上海

在小说阅读器读本章

去阅读

针对一个被命名为DirtyDecrypt（亦被追踪为DirtyCBC）的高危Linux内核本地提权漏洞的概念验证（PoC）利用代码已公开。该漏洞允许本地攻击者在受影响系统上获取完整的root权限。安全分析师Will Dormann将该漏洞归因为CVE-2026-31635，其补丁已于2026年4月25日悄然合并至上游代码。

Part01

漏洞技术分析

DirtyDecrypt漏洞存在于Linux内核RxGK子系统的rxgk_decrypt_skb()函数中。该子系统是基于GSS-API的安全层，用于Andrew文件系统（AFS）客户端所使用的RxRPC网络传输协议。研究人员Moselwal指出，漏洞根源在于缺少写时复制（COW）保护机制：当解密传入的套接字缓冲区（sk_buff）时，内核会直接写入共享的页缓存页面，而未事先创建私有副本。

这种无保护的写入操作可能影响特权进程的内存空间，或影响特权文件（如/etc/shadow、/etc/sudoers或SUID二进制文件）的页缓存，使得本地非特权用户能够破坏并最终覆写这些页面，从而实现提权。V12研究团队将其发现描述为“由于rxgk_decrypt_skb中缺少COW保护导致的rxgk页缓存写入”，并于2026年5月9日向内核维护者报告，但被告知该漏洞与已修复的内部问题重复。

Part02

受影响发行版

漏洞利用需要Linux内核编译时启用CONFIG_RXGK=y或CONFIG_RXGK=m配置选项。实际受影响的主要是紧密跟踪上游内核开发的滚动更新发行版：

Fedora（包括Rawhide和Workstation版本，补丁前）
Arch Linux（执行pacman -Syu前）
openSUSE Tumbleweed（执行zypper dup前）
使用主线内核PPA或RHEL/CentOS Stream上ELRepo kernel-ml的系统

稳定的企业级发行版（如Debian Stable、RHEL 8/9和Ubuntu LTS）默认禁用RxGK功能，通常不受影响。管理员可通过以下命令验证系统暴露情况：

zcat /proc/config.gz | grep RXGK

Part03

容器环境风险加剧

Moselwal特别指出，在容器环境中操作时威胁显著升级。在运行滚动更新内核的Kubernetes工作节点上，成功利用DirtyDecrypt漏洞可实现完整的容器逃逸：获取宿主机root权限意味着可访问该节点上的所有Pod、所有容器运行时套接字以及挂载的所有Kubernetes密钥。企业环境中风险最高的目标是Fedora或Arch开发工作站，这些设备通常存有活跃的kubectl上下文、AWS生产环境凭证和SSH密钥。

值得注意的是，DirtyDecrypt是三周内XFRM/ESP/rxgk攻击面上出现的第四个Linux内核本地提权漏洞，与当前被积极利用的CopyFail漏洞家族属于同一漏洞类别。

Part04

缓解措施

主要修复方案是更新包含4月25日上游补丁的内核版本：

# Fedorasudo&nbsp;dnf upgrade --refresh kernel kernel-core kernel-modules &&&nbsp;sudo&nbsp;systemctl reboot# Arch Linuxsudo&nbsp;pacman -Syu linux linux-headers &&&nbsp;sudo&nbsp;systemctl reboot# openSUSE Tumbleweedsudo&nbsp;zypper dup &&&nbsp;sudo&nbsp;systemctl reboot

对于无法立即打补丁的系统，可通过黑名单禁用rxrpc、esp4和esp6内核模块作为临时解决方案，但这会导致IPsec VPN连接和AFS挂载功能中断。Kubernetes运维人员应使用已修复内核重建工作节点镜像，并在集群范围内强制实施Pod安全标准（restricted配置），确保所有工作负载默认设置allowPrivilegeEscalation: false。

鉴于公开PoC代码的可用性以及与CopyFail漏洞高度相似的利用先例，Fedora、Arch和openSUSE Tumbleweed用户应将此漏洞修复视为当务之急。

参考来源：

DirtyDecrypt Linux Kernel Vulnerability PoC Exploit Code Released

DirtyDecrypt Linux Kernel Vulnerability PoC Exploit Code Released

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《DirtyDecrypt Linux内核漏洞PoC利用代码公开》