Neuer Linux-Kernel-Schwachstelle DirtyDecrypt: Exploit-Code veröffentlicht

Moselwal erklärte, dass die Ursache ein fehlender Copy-on-Write (COW)-Schutz ist: Beim Entschlüsseln eines eingehenden Socket-Buffers (sk_buff) schreibt der Kernel direkt in eine gemeinsam genutzte Seite des Page-Caches, ohne zuvor eine private Kopie zu erstellen.

Dieser ungeschützte Schreibzugriff landet im Speicher privilegierter Prozesse oder im Seitenspeicherprivilegierter Dateien, einschließlich /etc/shadow, /etc/sudoers oder SUID-Binärdateien – wodurch ein lokaler unprivilegierter Benutzer diese Seiten beschädigen und schließlich überschreiben kann, um Root-Rechte zu erlangen.

V12 bezeichnete ihren Befund als „rxgk pagecache write due to missing COW guard in rxgk_decrypt_skb" und meldete ihn den Kernel-Wartungsteam am 9. Mai 2026, woraufhin sie darauf hingewiesen wurde, dass es sich um eine Duplizierung eines bereits gepatchten internen Problems handelt.

Technischer Hintergrund

DirtyDecrypt Betroffene Distributionen Die Ausnutzung erfordert einen Linux-Kernel, der mit CONFIG_RXGK=y oder CONFIG_RXGK=m kompiliert wurde.

In der Praxis betrifft dies Rolling-Release-Distributionen, die die Entwicklung des Upstream-Kernels eng verfolgen: Fedora (einschließlich Rawhide und Workstation vor dem Patch), Arch Linux (vor pacman -Syu), openSUSE Tumbleweed (vor zypper dup), sowie Systeme, die mainline-Kernel-PPAs oder ELRepo kernel-ml auf RHEL/CentOS Stream verwenden.

Stabile Enterprise-Distributionen wie Debian Stable, RHEL 8/9 und Ubuntu LTS liefern RXGK deaktiviert aus und sind standardmäßig in der Regel nicht betroffen. Administratoren können die Exposition überprüfen, indem sie ausführen: bash zcat /proc/config.gz | grep RXGK. Das operationelle Risiko eskaliert in Container-Umgebungen erheblich.

Sicherheitslage und Risiko

Auf einem Kubernetes-Worker-Node mit einem Rolling-Release-Kernel führt eine erfolgreiche DirtyDecrypt-Exploitation zu einem vollständigen Container-Escape: Lokale Root-Rechte auf dem Host gewähren Zugriff auf jeden Pod, jeden Container-Runtime-Socket und jedes auf diesem Node gemountete Kubernetes-Secret, wie Moselwal hinzugefügt hat.

Arbeitsstationen unter Fedora oder Arch, die aktive kubectl-Kontexte, AWS-Produktionsprofile und SSH-Schlüssel enthalten, stellen in Unternehmensumgebungen die risikoreichsten Ziele dar.

DirtyDecrypt ist die vierte Linux-Kernel-LPE (Local Privilege Escalation) innerhalb derselben Angriffsfläche XFRM/ESP/rxgk innerhalb ört zur gleichen Schwachstellenklasse wie die aktuell ausgenutzte Copy-Fail-Familie. Die primäre Gegenmaßnahme besteht darin, den Kernel-Update-Patch vom 25.

Sicherheitslage und Risiko

April zu installieren: bash # Fedora sudo dnf upgrade --refresh kernel kernel-core kernel-modules && sudo systemctl reboot # Arch Linux sudo pacman -Syu linux linux-headers && sudo systemctl reboot # openSUSE Tumbleweed sudo zypper dup && sudo systemctl reboot Für Systeme, bei denen eine sofortige Patches nicht möglich ist, bietet das Blacklisting der Kernel-Module rxrpc, esp4 und esp6 eine vorübergehende Lösung – dies führt jedoch zum Ausfall sollten Worker-Knoten-Images mit dem gepatchten Kernel neu erstellen und clusterweit Pod-Sicherheitsstandards (eingeschränktes Profil) durchsetzen, wobei sicherzustellen ist, dass allowPrivilegeEscalation: false als Standard für alle Workloads festgelegt wird.

Linux-Nutzer auf Fedora, Arch und openSUSE Tumbleweed sollten dies als höchste Priorität betrachten, angesichts der Verfügbarkeit von öffentlichem Proof-of-Concept-Code und des bereits etablierten Exploitation-Vorbehalts durch die eng verwandte Copy-Fail-Schwachstelle.