Eine kürzlich gepatchte lokale Privilege-Escalation-Schwachstelle im rxgk-Modul des **Linux**-Kernels verfügt nun über einen Proof-of-Concept-Exploit, der es Angreifern ermöglicht, auf einigen **Linux**-Systemen Root-Zugriff zu erlangen. ### DirtyDecrypt-Details Diese Sicherheitslücke, bekannt als DirtyDecrypt und auch als DirtyCBC bekannt, wurde Anfang dieses Monats vom **V12**-Sicherheitsteam autonom entdeckt und gemeldet, als die Maintainer sie darüber informierten, dass es sich um eine Duplikat handelte, die bereits im Mainline-Kernel behoben wurde. "Wir haben dies am 9. Mai 2026 gefunden und gemeldet, wurden aber von den Maintainern darüber informiert, dass es sich um ein Duplikat handelt", sagte **V12**. "Es handelt sich um einen rxgk pagecache write aufgrund fehlender COW-Guard in rxgk_decrypt_skb. Weitere Details finden Sie in poc.c." Obwohl es keine offizielle **CVE**-ID für diese Sicherheitslücke gibt, stimmen die Informationen der Sicherheitsforscher laut **Will Dormann** (Principal Vulnerability Analyst bei **Tharros**) mit den Details von **CVE-2026-31635** überein, die am 25. April gepatcht wurde. ### Angriffsfläche Eine erfolgreiche Ausnutzung erfordert die Ausführung eines **Linux**-Kernels mit der Konfigurationsoption `CONFIG_RXGK`, die die RxGK-Sicherheitsunterstützung für den Andrew File System (**AFS**)-Client und den Netzwerktransport aktiviert. Dies beschränkt die Angriffsfläche auf **Linux**-Distributionen, die den neuesten Upstream-Kernel-Releases genau folgen, darunter **Fedora**, **Arch Linux** und **openSUSE Tumbleweed**. Der Proof-of-Concept-Exploit von **V12** wurde jedoch nur gegen **Fedora** und den Mainline **Linux**-Kernel getestet.  *DirtyDecrypt-Exploit Fedora-Test (Will Dormann)* ### Ähnliche Schwachstellen DirtyDecrypt gehört zur gleichen Schwachstellenklasse wie mehrere andere Root-Escalation-Fehler, die in den letzten Wochen offengelegt wurden, darunter Dirty Frag, Fragnesia und Copy Fail. ### Abhilfemaßnahmen **Linux**-Benutzern auf potenziell von DirtyDecrypt betroffenen Distributionen wird geraten, so schnell wie möglich die neuesten Kernel-Updates zu installieren. Diejenigen, die ihre Geräte nicht sofort patchen können, sollten jedoch die gleiche Abhilfemaßnahme wie für Dirty Frag verwenden (dies wird jedoch auch IPsec VPNs und **AFS**-verteilte Netzwerkdateisysteme beeinträchtigen): ```sh sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true" ``` ### Aktive Ausnutzung Diese Veröffentlichungen folgen auf aktuelle Berichte, dass Angreifer die Copy Fail-Schwachstelle derzeit in freier Wildbahn ausnutzen. Die **Cybersecurity and Infrastructure Security Agency (CISA)** fügte Copy Fail am 1. Mai ihrer Liste der ausgenutzten Schwachstellen hinzu und wies Bundesbehörden an, ihre **Linux**-Geräte innerhalb von zwei Wochen, bis zum 15. Mai, zu sichern. "Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyberakteure und birgt erhebliche Risiken für das föderale Unternehmen", warnte die US-Cybersicherheitsbehörde. Im April veröffentlichten **Linux**-Distributionen Patches für eine weitere Schwachstelle zur Eskalation von Root-Berechtigungen (genannt Pack2TheRoot) im PackageKit-Daemon, die fast 12 Jahre lang unbemerkt geblieben war.