### DirtyDecrypt: Details und Auswirkungen Die **DirtyDecrypt** Schwachstelle, gemeldet von **Zellic** und dem **V12 Security Team**, resultiert aus einer fehlenden Copy-on-Write (COW) Absicherung in `rxgk_decrypt_skb`. Laut **Luna Tong** (auch bekannt als cts und gf_256) von Zellic erlaubt dieses Versäumnis das Schreiben von Daten in den Speicher privilegierter Prozesse oder den Page Cache privilegierter Dateien, wie z.B. `/etc/shadow`, `/etc/sudoers` oder SUID-Binaries. Dies kann zu einer lokalen Privilege Escalation führen. Wie von Moselwal erklärt, entschlüsselt `rxgk_decrypt_skb()` eingehende Socket-Buffer. Das Fehlen einer COW-Absicherung bedeutet, dass Daten in Speicherseiten geschrieben werden können, die mit dem Page Cache anderer Prozesse geteilt werden, ohne zuvor eine private Kopie zu erstellen. ### Betroffene Systeme **DirtyDecrypt** betrifft speziell Linux-Distributionen mit aktiviertem **CONFIG_RXGK**, darunter **Fedora**, **Arch Linux** und **openSUSE Tumbleweed**. In containerisierten Umgebungen könnten anfällige Worker Nodes einen Ausweg aus dem Pod ermöglichen. ### Eine Familie von Fehlern Zellic stuft **DirtyDecrypt** als eine Variante von Schwachstellen wie **Copy Fail** (**CVE-2026-31431**), **Dirty Frag** (auch bekannt als Copy Fail 2, **CVE-2026-43284** und **CVE-2026-43500**) und **Fragnesia** (**CVE-2026-46300**) ein. Diese Fehler gewähren alle Root-Zugriff auf anfälligen Systemen, indem sie Schwächen im Speichermanagement ausnutzen. **Copy Fail**, entdeckt von Forschern bei **Theori**, ist eine lokale Privilege Escalation Schwachstelle in der AF_ALG Kryptographie-Socket-Schnittstelle. **Dirty Frag** erweitert **Copy Fail** um zwei Page-Cache-Schreib-Primitive. Der Sicherheitsforscher **Hyunwoo Kim** veröffentlichte Details, nachdem ein integrierter Patch für **CVE-2026-43284** einen anderen Forscher (0xdeadbeefnetwork/afflicted.sh) dazu veranlasste, die Schwachstelle unabhängig zu entdecken und Details zu veröffentlichen. **Fragnesia** ist eine weitere Variante von **Dirty Frag**, die das XFRM ESP-in-TCP Subsystem betrifft und zum gleichen Ergebnis führt: Unprivilegierte lokale Angreifer können schreibgeschützte Dateiinhalte im Kernel Page Cache modifizieren und Root-Privilegien erlangen. ### Weitere aktuelle Linux-Kernel-Schwachstellen Diese Schwachstelle kommt zusammen mit anderen kürzlich bekannt gegebenen LPE-Fehlern, darunter eine im Linux **PackageKit** Daemon (**CVE-2026-41651**, auch bekannt als Pack2TheRoot) und eine fehlerhafte Berechtigungsverwaltung im Kernel (**CVE-2026-46333**, auch bekannt als ssh-keysign-pwn). Letztere ermöglicht es unprivilegierten lokalen Benutzern, von Root besessene Geheimnisse wie SSH-Private-Keys zu lesen. Verschiedene Linux-Distributionen haben Ratschläge für **CVE-2026-46333** veröffentlicht: * [AlmaLinux](https://almalinux.org/blog/2026-05-15-ssh-keysign-pwn-cve-2026-46333/) * [Amazon Linux](https://explore.alas.aws.amazon.com/CVE-2026-46333.html) * [CloudLinux](https://blog.cloudlinux.com/ptrace-exit-race-cve-2026-46333-mitigation-and-kernel-update) * [Fedora](https://bodhi.fedoraproject.org/updates/FEDORA-2026-8b4a8d18d2) * [Gentoo](https://bugs.gentoo.org/show_bug.cgi?id=CVE-2026-46333) * [Red Hat](https://access.redhat.com/security/cve/cve-2026-46333) * [SUSE](https://www.suse.com/security/cve/CVE-2026-46333.html) * [Ubuntu](https://ubuntu.com/blog/ssh-keysign-pwn-linux-vulnerability-fixes-available) ### Vorschlag für einen Kernel-Killswitch Die jüngste Welle von Kernel-Schwachstellen-Offenlegungen hat eine Diskussion unter Linux-Kernel-Entwicklern über die Implementierung eines Notfall-"Killswitchs" ausgelöst. Dies würde es Administratoren ermöglichen, anfällige Kernel-Funktionen zur Laufzeit zu deaktivieren, bis ein Patch verfügbar ist. Der Linux-Kernel-Entwickler **Sasha Levin** schlug den "Killswitch" vor, der es einem privilegierten Betreiber ermöglichen würde, eine ausgewählte Kernel-Funktion zu zwingen, einen festen Wert zurückzugeben, ohne ihren Körper auszuführen. Dies würde als temporäre Abhilfemaßnahme für Sicherheitsfehler dienen. ### Rocky Linux Security Repository **Rocky Linux** hat ein optionales Sicherheitsrepository eingeführt, um dringende Sicherheitsfixes schnell bereitzustellen, insbesondere wenn Schwachstellen öffentlich bekannt sind, bevor Upstream-Patches verfügbar sind. Dieses Repository ist standardmäßig deaktiviert, um den Fokus der Distribution auf Stabilität und Upstream-Kompatibilität zu wahren. Administratoren können sich bei Bedarf für den Zugriff auf diese beschleunigten Fixes entscheiden. Dieses Repository richtet sich an spezifische Fälle, in denen eine signifikante Schwachstelle öffentlich ist, Exploit-Code existiert und Upstream-Patches noch nicht verfügbar sind. Es ist nicht als Ersatz für den regulären Release-Prozess gedacht.