Linuxカーネルのrxgkモジュールに存在するローカル特権昇格脆弱性「DirtyDecrypt(別名:DirtyCBC)」の概念実証コード(PoC)が公開された。CVE-2026-31635として追跡されるこの脆弱性は4月25日にパッチ済みだが、まだ最新カーネルに更新していないシステムは依然リスクにさらされている。
DirtyDecryptとは何か
DirtyDecryptは、Linuxカーネルのrxgkモジュール内、rxgk_decrypt_skb関数におけるCOW(Copy-On-Write)ガードの欠如によって引き起こされる脆弱性だ。このガードがないことで、ページキャッシュへの不正書き込みが可能となり、結果的に一般ユーザーがroot権限を取得できる。
ローカル特権昇格(LPE)のため、リモートから直接悪用することはできない。しかし、クラウドVM・マルチユーザーサーバー・コンテナエスケープ後といった「なんらかの手段でローカルアクセスを得た攻撃者」がいる状況では、root奪取につながる致命的な脆弱性となりうる。
セキュリティ研究チームのV12が2026年5月9日に独立発見・報告したものの、メンテナーから「パッチ済みの重複報告」と通知された経緯がある。
影響を受けるLinuxディストリビューション
本脆弱性の悪用には、カーネルのCONFIG_RXGK設定オプションが有効になっている必要がある。これはAFS(Andrew File System)クライアントのRxGKセキュリティサポートを有効化するオプションで、最新のアップストリームカーネルを積極的に追従しているディストリビューションに限られる。
現時点で影響が確認または懸念される環境:
- Fedora(PoCによる動作確認済み)
- Arch Linux
- openSUSE Tumbleweed
Ubuntu LTS・Debian stable・RHEL・CentOS Streamなど、保守的なカーネルポリシーを持つディストリビューションは現時点では影響を受けない可能性が高い。
即時対応:パッチ適用が最優先
最善策はカーネルを最新版に更新することだ。
出典: この記事は Exploit available for new DirtyDecrypt Linux root escalation flaw の内容をもとに、筆者の見解を加えて独自に執筆したものです。