Linux Kernel の脆弱性 DirtyDecrypt CVE-2026-31635 が FIX:root 権限昇格と PoC の提供

DirtyDecrypt Linux Kernel Vulnerability PoC Exploit Code Released

2026/05/20 CyberSecurityNews — Linux カーネルに存在する高深刻度のローカル権限昇格の脆弱性 DirtyDecrypt (別名 DirtyCBC) に対する、PoC (proof-of-concept) エクスプロイトが、セキュリティアナリスト Will Dormann により公開された。この脆弱性 CVE-2026-31635 を悪用するローカル攻撃者は、root 権限の取得が可能となる。なお、この脆弱性に対する修正パッチは、2026年4月25日の時点でアップストリームにマージされている。

DirtyDecrypt は、Linux カーネルの RxGK サブシステム内の rxgk_decrypt_skb() 関数に存在する。RxGK は、RxRPC のための GSS-API ベースのセキュリティ・レイヤーであり、Andrew File System (AFS) クライアントで使用されるネットワーク・トランスポートである。

この脆弱性の根本的な原因は、copy-on-write (COW) 保護の欠如にある。受信したソケットバッファ (sk_buff) を復号する際に、カーネルが共有キャッシュページに対して、プライベートコピーを作成せずに直接書き込みを行う。

この保護されていない書き込みは、特権プロセスのメモリや特権ファイルのページキャッシュである “/etc/shadow”、”/etc/sudoers”、SUID バイナリなどに影響を及ぼす。それにより、低権限のローカル・ユーザーであっても、これらのページを破壊/上書きすることで root 権限の取得が可能となる。

研究者 V12 は、この問題を “rxgk_decrypt_skb における COW ガード欠如によるページキャッシュ書き込み” として報告したが、すでに内部で修正済みの問題の重複であると通知された。

DirtyDecrypt の影響を受けるディストリビューション

この攻撃の前提条件として、Linux カーネルが CONFIG_RXGK=y または CONFIG_RXGK=m でビルドされている必要がある。実際には、アップストリームを追従する、ローリングリリース・ディストリビューションが影響を受ける。

  • Fedora (Rawhide/Workstation パッチ適用前 )
  • Arch Linux (pacman -Syu 実行前 )
  • openSUSE Tumbleweed (zypper dup実行前 )
  • RHEL/CentOS Stream における mainline kernel PPA または ELRepo kernel-ml

その一方で、Debian Stable や、RHEL 8/9、Ubuntu LTS などの安定系ディストリビューションでは、RxGK が無効化されているため、デフォルトでの影響は生じない。

管理者は、以下コマンドにより影響の有無を確認できる。

  • zcat /proc/config.gz | grep RXGK

コンテナ環境では、さらに脅威が増大する。Kubernetes ワーカーノード上で DirtyDecrypt が成功すると、コンテナ・エスケープに直結する。

ホスト上の root 権限取得により、すべての Pod/コンテナ・ランタイム・ソケット/Kubernetes シークレットへのアクセスが可能となる。

特に Fedora や Arch の開発端末 (kubectl コンテキスト/AWS プロファイル/SSH キーを保持) は、エンタープライズ環境に高リスクをもたらす。

今回の DirtyDecrypt は、これまでの 3週間で発見された、XFRM/ESP/RxGK を攻撃面とする 4件目の LPE (Local Privilege Escalation) であり、Copy Fail 系脆弱性と同一クラスに属する。

対策

最も重要な対策は、2026年4月25日のアップストリーム・パッチを含むカーネルへの更新である。

# Fedora
sudo dnf upgrade --refresh kernel kernel-core kernel-modules && sudo systemctl reboot

# Arch Linux
sudo pacman -Syu linux linux-headers && sudo systemctl reboot

# openSUSE Tumbleweed
sudo zypper dup && sudo systemctl reboot

迅速なパッチ適用が困難な場合には、以下のカーネルモジュールをブラックリスト化することで暫定対策となる。

  • rxrpc/esp4/esp6

ただし、この対応により、IPsec VPN や AFS マウントが破壊される可能性がある。

Kubernetes 環境では、修正済みカーネルを含むノードイメージの再構築と、Pod Security Standards restricted プロファイル ) の適用が推奨される。

すべてのワークロードにおいて、”allowPrivilegeEscalation: false” をデフォルトとする必要がある。

Fedora/Arch/openSUSE Tumbleweed のユーザーは、公開 PoC と既存の悪用事例を踏まえ、本件を最優先で対応すべきである。

訳者後書:Linux カーネルで発見された脆弱性 CVE-2026-31635 は、データを復号する際のメモリ管理の問題に起因します。 本来であれば、共有されているキャッシュページを書き換えるとき、他に影響が出ないようにプライベートなコピーを作成する保護機能 (COW) が働くはずでした。しかし、その保護が欠けていたことで、受信したデータを処理する際に重要なメモリ領域へ直接書き込みが行われてしまいます。その結果、本来は書き換えられないはずのシステム・ファイルが上書き可能になり、一般ユーザーであっても管理者権限へと昇格できてしまう状態になっていました。関連記事として、2026/05/18 の「Linus Torvalds の警告:AI によるバグ報告が Linux セキュリティ運用を圧迫」も、ご参照ください。