Linuxカーネルの rxrpc / rxgk まわりの脆弱性として、CVE-2026-31635、通称 DirtyDecrypt のPoCが公開された。
一般的なサーバーがインターネット越しに即座にrootを取られる種類の脆弱性ではないが、そのマシン上で一般ユーザー権限のコード実行に到達されている場合、root権限へ昇格される可能性があるという最近立て続けに発見されている種類の脆弱性だ。
ひとまずの確認
問題のバグはrxrpcというモジュールに含まれているので、rxrpcがあるかどうかをまず調べる。
modinfo rxrpc
modinfo: ERROR: Module rxrpc not found. と表示された場合は今回の脆弱性と関係ないため、ここで切り上げてよい。Red Hat Enterprise Linux (RHEL) やそのクローン(Rocky, Almaなど)では多くの場合これにあてはまる。
rxrpcがある場合
rxrpcが not foundにならなかった場合でも、このバグは昨年行われた機能追加に関連して作り込まれたばかりのものなので影響を受ける環境は限定されているが、なんにせよ当該モジュールがロードされてしまわないように対策[1]するなら下記のコマンドで/etc/modprobe.d/rxrpc-blacklist.conf というファイルを作成する。
printf 'install rxrpc /bin/false\n' > /etc/modprobe.d/rxrpc-blacklist.conf
rmmod rxrpc
これで管理者権限を持たないユーザーは問題のモジュールをロードできなくなる。
ただし modinfo rxrpcした時に filename: (builtin) と表示されている場合は rxrpcがカーネルにスタティックリンク(埋め込み)されており切り離せないのでこの対策は効かず、アップデートの適用と再起動が必要だ。アップデートについては各Linuxディストリビューションの CVE-2026-31635関連情報を参照すること。
補足
2026年5月20日時点では、CVE-2026-31635の公式説明は rxgk_verify_response() の長さチェック不備によるクラッシュ、つまり主にDoSとして記述されている。一方、DirtyDecrypt / DirtyCBCとして話題になっているPoCは、同じRxGK RESPONSE処理周辺の「復号前後のページ共有」問題を使ったローカル権限昇格として説明されている。
公開情報ではこの2つの扱いがやや混ざっているため、この記事では仔細に触れず「どうすればいいか」のみの説明に留めている。
不安な方へ
「自社のLinuxサーバーや開発環境が該当するのか判断できない」「カーネル更新や再起動の段取りを相談したい」のような企業様:
お気軽にお問い合わせください。
参考情報
- NVD: CVE-2026-31635
- Ubuntu Security: CVE-2026-31635
- Debian Security Tracker: CVE-2026-31635
- DirtyCBC: When Linux Kernel Decrypt-Before-MAC Turns Authenticated Encryption Into a Page-Cache Write
- DirtyDecrypt: Linux kernel LPE in the RxGK subsystem (CVE-2026-31635) with public PoC
関連記事
- DirtyFrag: Linuxカーネルのローカル権限昇格脆弱性について現時点で分かっていること
- Linux脆弱性 CVE-2026-31431「Copy Fail」は何が危ないのか・対策
- NGINXのrewrite脆弱性 CVE-2026-42945 「NGINX Rift」は何を確認すべきか
AFS、RxRPC、Kerberos/GSS-APIまわりを実際に利用している環境ではそうもいかないが、これらのキーワードに特に覚えがないようならまず利用していないだろう。 ↩︎
