對於維護 Linux 伺服器的工程師來說,權限提升漏洞(Local Privilege Escalation, LPE)是最令人頭痛的安全威脅。近期被命名為 DirtyDecrypt(或稱 DirtyCBC)的 CVE-2026-31635 漏洞,再次揭露了核心記憶體管理中一個極其細微但致命的錯誤。這類漏洞通常與 Linux 核心如何處理記憶體頁面(Memory Pages)的優化機制有關。
理解 DirtyDecrypt 的核心:Copy-on-Write 機制
要理解這個漏洞,首先得知道什麼是 Copy-on-Write(COW,寫入時複製)。在 Linux 中,為了節省記憶體,當多個行程(Process)需要讀取同一份資料時,核心會讓它們共享同一個實體記憶體頁面。
只要這些行程只是在讀取,共享就沒有問題。但一旦某個行程嘗試修改(寫入)該頁面,核心會觸發 COW 機制:先將該頁面複製一份私有的副本給該行程,然後讓行程在副本上進行修改。這樣可以確保其他共享該頁面的行程看到的資料不會被意外篡改。
DirtyDecrypt 的失效點
DirtyDecrypt 漏洞發生在核心的 rxgk_decrypt_skb 函式中。這個函式負責對接收到的 sk_buff(Socket Buffer,即網路封包在核心中的緩衝區)進行解密。
問題在於,這個函式在處理記憶體頁面時,遺漏了上述的 COW 保護檢查。當核心在解密過程中將資料寫回記憶體時,它直接修改了原本應該被保護的共享頁面,而沒有先建立私有副本。
這導致了一個嚴重的後果:攻擊者可以利用這個漏洞,將資料直接寫入到其他高權限行程的記憶體中,或者更危險地,寫入到核心的 Page Cache(頁面快取)中。Page Cache 是核心為了加速讀取而將磁碟檔案暫存在記憶體中的機制。如果攻擊者能修改 Page Cache 中關於 /etc/shadow(儲存密碼雜湊)或 /etc/sudoers(定義 sudo 權限)等敏感檔案的內容,就能在不經過驗證的情況下獲取 Root 最高權限。
受影響範圍與實務影響
此漏洞僅影響啟用了 CONFIG_RXGK 選項的 Linux 發行版,例如 Fedora、Arch Linux 和 openSUSE Tumbleweed。
對於運行容器化環境(如 Kubernetes)的團隊來說,這是一個巨大的風險。如果 Worker Node 運行的是受影響的核心版本,攻擊者一旦攻破 Pod 內部,就有可能利用此 LPE 漏洞突破容器隔離,直接控制宿主機(Host)的 Root 權限,實現 Pod Escape。
這類漏洞並非孤例,DirtyDecrypt 被認為是 Copy Fail、Dirty Frag 和 Fragnesia 等一系列記憶體管理漏洞的變體。這些漏洞的共同特徵都是利用核心在處理特定網路協定或加密接口時的記憶體同步缺陷,來篡改唯讀檔案的快取。
業界的應對與新防禦思維
面對頻繁出現的 LPE 漏洞,Linux 社群正在討論更激進的緩解方案。
首先是緊急開關機制(Killswitch)。核心開發者提出了一項提案,允許管理員在運行時動態禁用某些有漏洞的核心函式。當發現零日漏洞(Zero-day)但尚未有正式補丁時,管理員可以強制讓該函式直接返回一個固定值而不再執行其主體內容,從而快速切斷攻擊路徑。
其次是加速補丁分發。例如 Rocky Linux 推出了選用的安全儲存庫(Security Repository),允許使用者在官方上游尚未發布正式穩定版前,先行安裝針對高風險漏洞的緊急修復補丁。
總結與建議
DirtyDecrypt 提醒我們,核心層級的優化(如 COW)雖然提升了效能,但一旦實作中漏掉一個檢查點,就會變成權限提升的捷徑。建議所有維護 Linux 系統的工程師檢查核心配置,若啟用了 RXGK 且版本未更新,請立即升級核心以修復 CVE-2026-31635。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。