DirtyDecrypt : Vulnérabilité d’élévation de privilèges dans le noyau Linux

Une vulnérabilité d’escalade de privilèges locaux, nommée DirtyDecrypt (ou DirtyCBC), a été identifiée dans le module rxgk du noyau Linux. Cette faille permet à un attaquant d’obtenir un accès root sur les systèmes vulnérables.

Points clés :

• Cause technique : Absence de protection “COW” (Copy-on-Write) dans la fonction rxgk_decrypt_skb, entraînant une écriture non sécurisée dans le cache de pages.
• Conditions d’exploitation : La vulnérabilité ne concerne que les noyaux Linux compilés avec l’option de configuration CONFIG_RXGK activée (support RxGK pour le client AFS).
• Distributions visées : Principalement les systèmes utilisant des versions récentes du noyau Linux, tels que Fedora, Arch Linux et openSUSE Tumbleweed.
• Contexte : Cette faille s’inscrit dans une série récente d’exploits ciblant le noyau Linux, à l’instar de Dirty Frag, Fragnesia et Copy Fail.

Vulnérabilité associée :

• CVE-2026-31635 (corrigée officiellement le 25 avril 2026).

Recommandations :

• Mise à jour : Installer les dernières mises à jour du noyau Linux fournies par votre distribution dès que possible.
• Atténuation temporaire : Si le patch n’est pas applicable immédiatement, il est possible de désactiver les modules vulnérables via la commande suivante (attention : cela désactive les VPN IPsec et le système de fichiers AFS) : sh -c "printf 'install esp4 /bin/false install esp6 /bin/false install rxrpc /bin/false ' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Source