Linuxエコシステムは数週間にわたり連続的な波状の障害に見舞われています。Copy FailとDirty Fragを巡る業界の混乱がようやく沈静化したばかりで、DirtyDecryptと名付けられた重大なカーネル欠陥を通じた新たなローカル権限昇格のベクトルが現れました。コアメンテナーは上流ソースツリーに決定的な修正をマージすることに成功していますが、機能的なProof-of-Concept(PoC)エクスプロイトの公開により、セキュリティ更新を未適用のままにしているインフラストラクチャフリートのリスクプロファイルが大幅に高まっています。
CVE-2026-31635として分類された根本的な脆弱性には、CVSS重大度スコアが7.5と割り当てられています。ZellicおよびV12の研究チームは、2026年5月9日に初めてこの異常を公開しました。その後、カーネルメンテナーは、この欠陥が以前に修正された構造的欠陥を事実上複製していることを示唆しました。Zellicの共同創設者であるLuna Tunは、DirtyDecrypt(別名DirtyCBCと追跡されている)を、RxGKページキャッシュへの保護されていないメモリ書き込みとして特性化し、標準的なコピー・オン・ライト(CoW)分離プリミティブを完全に回避していることを指摘しました。
アーキテクチャ上の欠陥は、インバウンドソケットバッファ(sk_buff)の復号化を担当するサブルーチンであるrxgk_decrypt_skbルーチン内に存在しています。標準的なカーネルメモリ実行では、Linuxは書き込み操作の許可前に共有メモリページの別個の複製をプログラムで作成し、個別のプロセスによって実行されたデータ変更が隣接するプロセスコンテキストから厳密に隔離されていることを確認します。この特定のシナリオでは、この防御的な抽象化レイヤーが発動に失敗します。その結果、権限のない攻撃者は高度な権限を持つシステムデーモンのメモリ空間を直接破損させたり、/etc/shadow、/etc/sudoers、特権SUIDBinaryなど、カーネル内の重要なシステムファイルのキャッシュ状態を操作したりできます。
DirtyDecryptは、アクティブなカーネル設定パラメータCONFIG_RXGKでコンパイルされたLinuxディストリビューションにのみ影響を与えます。脆弱性のあるステージングターゲットの中で著名なものは、Fedora、Arch Linux、openSUSE Tumbleweekの上流ビルドです。仮想化されたコンテナオーケストレーション環境内では、この脆弱なカーネルアーキテクチャを持つ侵害されたワーカーノードは、攻撃者に分離されたポッドからの決定論的なコンテナエスケープを実行するために必要な正確な暗号化およびメモリ常駐レバレッジを提供する可能性があります。
Zellicは、DirtyDecryptをCopy Fail、Dirty Frag、Fragnesiaを含む概念的に一致したページキャッシュ異常の進化する系統に関連付けています。この欠陥の全体的なマトリックスは、同一の搾取方法論を武装化しています。ローカルで権限のない脅威アクターがカーネルページキャッシュレイヤーを通じて読み取り専用のオペレーティングシステムファイルのローカライズされたキャッシュレイヤーを変更し、最終的にroot権限への妨げられない昇格を調整します。セキュリティ研究者のHyunwoo Kimは元々Copy Failのメカニズムを露出させました。これは、上流のLinuxカーネルにマージされた公開コード変更をリバースエンジニアリングする攻撃者が作成した派生した搾取バリアントの第2波を触発しました。
連続するローカル権限昇格ベクトルのこの背景に対して、コアカーネルアーキテクトは動的緊急軽減サーキットブレーカーの実装を積極的に議論しています。LinuxカーネルメンテナーであるSasha Levinは、管理者が選択されたカーネルサブシステムまたはモジュールを実行時に一時的に無効化できるアーキテクチャフレームワークを提案し、包括的で正式な回帰テストを受けたパッチが上流でコンパイルされている間、即座の防御ホールドを提供します。
同時に、Rocky Linuxエンタープライズ集団は独立した戦略的パスを描き、迅速なパッチ配信に合わせた特別な帯外セキュリティリポジトリを確立しました。デフォルトで無効化された、この補助更新チャネルは、重大な脆弱性が公開露出とアクティブなエクスプロイトコードを達成しているが、メインストリーム安定上流リリースの配布前の高リスク操作ウィンドウに対応するために明示的に設計されています。
