--- title: Linuxカーネル脆弱性 CVE-2026-31635「DirtyDecrypt」は何を確認すべきか description: LinuxカーネルのRxGK/RxRPCまわりで公開されたDirtyDecrypt PoCについて、確認方法と暫定緩和策を管理者向けに整理する。 image: /img/security.jpg date: 2026-05-20 05:59:00 --- Linuxカーネルの `rxrpc` / `rxgk` まわりの脆弱性として、CVE-2026-31635、通称 **DirtyDecrypt** のPoCが公開された。 一般的なサーバーがインターネット越しに即座にrootを取られる種類の脆弱性ではないが、**そのマシン上で一般ユーザー権限のコード実行に到達されている場合、root権限へ昇格される可能性がある**という最近立て続けに発見されている種類の脆弱性だ。 ## ひとまずの確認 問題のバグはrxrpcというモジュールに含まれているので、rxrpcがあるかどうかをまず調べる。 ```bash modinfo rxrpc ``` `modinfo: ERROR: Module rxrpc not found.` と表示された場合は**今回の脆弱性と関係ないため、ここで切り上げてよい**。Red Hat Enterprise Linux (RHEL) やそのクローン(Rocky, Almaなど)では**多くの場合これにあてはまる**。 ## rxrpcがある場合 rxrpcが not foundにならなかった場合でも、このバグは昨年行われた機能追加に関連して作り込まれたばかりのものなので影響を受ける環境は限定されているが、なんにせよ当該モジュールがロードされてしまわないように対策[^1]するなら下記のコマンドで`/etc/modprobe.d/rxrpc-blacklist.conf` というファイルを作成する。 [^1]: AFS、RxRPC、Kerberos/GSS-APIまわりを実際に利用している環境ではそうもいかないが、これらのキーワードに特に覚えがないようならまず利用していないだろう。 ```sh printf 'install rxrpc /bin/false\n' > /etc/modprobe.d/rxrpc-blacklist.conf rmmod rxrpc ``` これで管理者権限を持たないユーザーは問題のモジュールをロードできなくなる。 ただし `modinfo rxrpc`した時に `filename: (builtin)` と表示されている場合は rxrpcがカーネルにスタティックリンク(埋め込み)されており切り離せないのでこの対策は効かず、アップデートの適用と再起動が必要だ。アップデートについては各Linuxディストリビューションの CVE-2026-31635関連情報を参照すること。 ## 補足 2026年5月20日時点では、CVE-2026-31635の公式説明は `rxgk_verify_response()` の長さチェック不備によるクラッシュ、つまり主にDoSとして記述されている。一方、DirtyDecrypt / DirtyCBCとして話題になっているPoCは、同じRxGK RESPONSE処理周辺の「復号前後のページ共有」問題を使ったローカル権限昇格として説明されている。 公開情報ではこの2つの扱いがやや混ざっているため、この記事では仔細に触れず「どうすればいいか」のみの説明に留めている。 ## 不安な方へ 「自社のLinuxサーバーや開発環境が該当するのか判断できない」「カーネル更新や再起動の段取りを相談したい」のような企業様: [ワルブリックス株式会社 お問い合わせフォーム](/#contact) お気軽にお問い合わせください。 ## 参考情報 - [NVD: CVE-2026-31635](https://nvd.nist.gov/vuln/detail/CVE-2026-31635) - [Ubuntu Security: CVE-2026-31635](https://ubuntu.com/security/CVE-2026-31635) - [Debian Security Tracker: CVE-2026-31635](https://security-tracker.debian.org/tracker/CVE-2026-31635) - [DirtyCBC: When Linux Kernel Decrypt-Before-MAC Turns Authenticated Encryption Into a Page-Cache Write](https://delphoslabs.com/blog/36142374-e1fe-80a9-9456-d3c64df81bd5/%20linux-rxgk-decrypt-mac) - [DirtyDecrypt: Linux kernel LPE in the RxGK subsystem (CVE-2026-31635) with public PoC](https://moselwal.com/blog/dirtydecrypt-linux-kernel-rxgk-cve-2026-31635) ## 関連記事 - [DirtyFrag: Linuxカーネルのローカル権限昇格脆弱性について現時点で分かっていること](dirtyfrag-linux-lpe.md) - [Linux脆弱性 CVE-2026-31431「Copy Fail」は何が危ないのか・対策](copy-fail-cve-2026-31431.md) - [NGINXのrewrite脆弱性 CVE-2026-42945 「NGINX Rift」は何を確認すべきか](cve-2026-42945-nginx-rewrite.md)