Vulnérabilité “DirtyDecrypt” : Escalade de privilèges locale dans le noyau Linux

Une preuve de concept (PoC) a été rendue publique pour DirtyDecrypt (CVE-2026-31635), une vulnérabilité critique d’escalade de privilèges locale (LPE) affectant le noyau Linux. Cette faille, similaire aux récents bugs de type “Copy-on-Write” (COW), permet à un attaquant non privilégié d’écrire dans la mémoire protégée du noyau ou dans des fichiers système critiques (comme /etc/shadow ou /etc/sudoers).

Points clés :

• Cause technique : L’absence de garde-fou COW dans la fonction rxgk_decrypt_skb() lors du traitement des tampons de socket (sk_buff), permettant de corrompre des pages mémoire partagées.
• Environnements exposés : Systèmes avec CONFIG_RXGK activé (notamment Fedora, Arch Linux, openSUSE Tumbleweed). Elle peut également faciliter l’évasion de conteneurs.
• Contexte : Cette faille rejoint une série d’exploits récents basés sur la corruption de la mémoire du cache de pages (Copy Fail, Dirty Frag, Fragnesia), facilitant l’obtention des droits root.

Vulnérabilités mentionnées :

• CVE-2026-31635 (DirtyDecrypt) : Score CVSS 7.5.
• CVE-2026-31431 (Copy Fail), CVE-2026-43284 / CVE-2026-43500 (Dirty Frag), CVE-2026-46300 (Fragnesia) : Variantes permettant l’élévation de privilèges via des primitives d’écriture similaires.
• CVE-2026-46333 : Faille de gestion des privilèges permettant la lecture de secrets root (clés SSH).

Recommandations :

• Mise à jour : Appliquer immédiatement les correctifs fournis par les distributions Linux concernées pour ces différentes CVE.
• Atténuation d’urgence : Les développeurs du noyau étudient une proposition de “killswitch” permettant de désactiver dynamiquement les fonctions vulnérables sans redémarrage.
• Réponse aux vulnérabilités : Certaines distributions, comme Rocky Linux, ont mis en place des dépôts de sécurité optionnels pour déployer des correctifs critiques avant leur intégration officielle dans l’amont (upstream), une approche à surveiller pour les administrateurs système.

Source