Кого затрагивает уязвимость DirtyDecrypt?

В первую очередь — системы с включенным параметром CONFIG_RXGK. Исследователи отдельно указывают на отдельные сборки Fedora, Arch Linux и openSUSE Tumbleweed.

Что может сделать атакующий при эксплуатации DirtyDecrypt?

Уязвимость позволяет локальному атакующему повысить привилегии до root. В практическом смысле это дает полный контроль над уязвимой системой.

Если патч уже есть в mainline-ветке, можно не спешить?

Нет. Важно проверить, дошло ли исправление именно до вашей сборки и установлен ли пакет ядра на всех рабочих узлах. Для админов решает не новость, а фактическое обновление системы.

DirtyDecrypt в Linux: риск root-доступа

DirtyDecrypt в Linux: что известно о новой уязвимости с root-доступом

Исследователи показали PoC для DirtyDecrypt — уязвимости ядра Linux, которая затрагивает отдельные сборки и может дать локальному атакующему root-права.

21 мая 2026 г. 3 мин чтения 38 просмотров 1 читает сейчас

DirtyDecrypt в Linux: что известно о новой уязвимости с root-доступом

На одном из серверов админ смотрит на журнал обновлений и понимает: ядро Linux уже закрыли в mainline-ветке, но его рабочие узлы до сих пор живут на старой сборке. Параллельно исследователи выкладывают PoC для DirtyDecrypt — уязвимости, которая в затронутой системе может дать локальному пользователю права root.

История инцидента

DirtyDecrypt, или DirtyCBC, обнаружили две команды — Zellic и Delphos Labs. Когда они отправили отчет разработчикам ядра, выяснилось, что баг уже успели исправить в mainline-ветке Linux еще в апреле 2026 года.

По данным NVD, уязвимость получила номер CVE-2026-31635 и оценку 7,5 балла по шкале CVSS. Исследователи показали, что проблема связана не с сетью, а с локальным повышением привилегий — для атаки нужен доступ к уязвимой системе.

Корень бага лежит в подсистеме RxGK, которая связана с протоколом RxRPC и файловыми системами AFS/OpenAFS. Если коротко, уязвимость возникла в функции rxgk_decrypt_skb(): там не хватило защиты copy-on-write, а значит, система не создавала приватную копию страницы памяти перед записью в разделяемую область.

Что пошло не так в защите

Именно такие ошибки особенно неприятны: они не выглядят как классический взлом извне, но ломают базовую границу между обычным пользователем и системой. В случае DirtyDecrypt атакующий может записывать данные в память привилегированных процессов или напрямую менять кеш страниц защищенных файлов, включая /etc/shadow, /etc/sudoers и SUID-бинарники.

Итог предсказуем: локальный пользователь получает root-права. Для сервера это уже не частная поломка, а полноценный захват контроля над системой.

Уязвимость затрагивает только те установки, где включен параметр CONFIG_RXGK. На практике это в первую очередь некоторые сборки Fedora, Arch Linux и openSUSE Tumbleweed. Если модуль или соответствующая поддержка не включены, риск резко снижается.

История DirtyDecrypt хорошо ложится в общую картину последних недель: рядом всплывали CopyFail, Dirty Frag и Fragnesia. Drupal готовит срочное обновление из-за опасной уязвимости и другие похожие кейсы показывают одну закономерность — чем быстрее появляется PoC, тем выше шанс, что баг начнут использовать в реальных атаках.

Уроки для читателя

Первый вывод простой: не путать «ядро уже исправили» с «все системы в безопасности». Для Linux-окружения важна не дата публикации патча, а то, попал ли он именно в вашу сборку и дошел ли до рабочего сервера.

Второй вывод касается привилегий. Если локальный пользователь может превратиться в root, то обычные меры вроде ограничений на вход или парольной политики уже не спасают. Тут решают обновления, контроль конфигурации и быстрый аудит того, какие модули реально загружены.

Третий вывод — не откладывать проверку инфраструктуры, если в новостях появляется PoC. В таких ситуациях админы обычно сверяют версии ядра, список включенных функций и статус патчей. Для защиты переписки сотрудников и метаданных в чужой сети многие компании дополнительно подключают слой приватности для рабочей связи, но это не заменяет обновление ядра и контроль привилегий.

На фоне подобных багов разработчики обсуждают и более жесткие меры. В Linux уже предлагали механизм аварийного отключения уязвимых функций прямо во время работы системы, а Rocky Linux запустила отдельный репозиторий для ускоренной доставки экстренных исправлений, когда официальный патч еще не добрался до всех веток.

Практические выводы и чек-лист

Проверьте, используется ли у вас ядро Linux с включенным CONFIG_RXGK.
Сверьте версию ядра с тем, где баг уже закрыли в mainline-ветке.
Обновите пакеты ядра и перезагрузите систему после установки патча.
Проверьте, не загружены ли на сервере лишние модули AFS/OpenAFS и RxRPC.
Ограничьте локальные учетные записи с доступом к серверу, где это возможно.
Посмотрите журналы на необычные изменения в SUID-бинарниках и системных файлах.
Держите под рукой план экстренного отката и список критичных узлов.
Если вы администрируете несколько машин, заведите отдельную проверку именно для Fedora, Arch Linux и openSUSE Tumbleweed.

Главная мысль здесь не в громком названии уязвимости, а в дисциплине обновлений. Когда баг уже превратился в PoC, у администратора остается очень мало времени на реакцию.