Linux Kernel CVE-2026-31635 DirtyDecrypt 漏洞實測與修補教學

# Linux Kernel CVE-2026-31635 DirtyDecrypt 漏洞實測與修補教學 早排 Linux Kernel 出咗個重大漏洞 CVE-2026-31635,代號 **DirtyDecrypt**,影響範圍極廣,由 Linux Kernel 5.10 到 6.12 嘅 LTS 版本全部中招。呢個漏洞係 Local Privilege Escalation(LPE),即係話...

Linux Kernel CVE-2026-31635 DirtyDecrypt 漏洞實測與修補教學

早排 Linux Kernel 出咗個重大漏洞 CVE-2026-31635,代號 **DirtyDecrypt**,影響範圍極廣,由 Linux Kernel 5.10 到 6.12 嘅 LTS 版本全部中招。呢個漏洞係 Local Privilege Escalation(LPE),即係話只要 attacker 攞到 local access(就算只係普通 user),就可以輕鬆拎到 root 權限。PoC exploit code 已經喺 GitHub 公開咗,情況相當緊急。

👉 延伸閱讀:Linux Server 安全加固 6 步搞掂 — Defense in Depth 實戰指南

今日就同大家深入了解Linux Kernel安全性,step-by-step 睇下點樣 check 自己部機有冇中 Linux Kernel 呢個漏洞、點樣快速修補。

Linux Kernel 漏洞成因

Linux Kernel漏洞 CVE-2026-31635 係一個存在於 Linux Kernel 加密子系統(dm-crypt)入面嘅 race condition bug。dm-crypt 負責處理 disk encryption(即係 LUKS / dm-crypt 嗰層),當 device mapper 處理 crypto request 嘅時候,某啲 edge case 下會出現 use-after-free,造成 privilege escalation。

簡單嚟講:呢個Linux Kernel漏洞令 attacker 可以透過精心構造嘅 I/O request,令 Linux Kernel 嘅 dm-crypt module 喺釋放記憶體之後仲繼續用返同一塊 memory,從而 overwrite Linux Kernel structure,最終達到 root。

Step 1:Check 你個 Linux Kernel 版本

首先 check 下自己用緊咩 version:

uname -r

如果 output 係 5.10.x 至 6.12.x 之間,你就要留意。以下係受影響嘅 Linux Kernel 版本範圍:

& #8211; v5.10.0 至 v5.10.234(未修補)
& #8211; v5.15.0 至 v5.15.178(未修補)
& #8211; v6.1.0 至 v6.1.132(未修補)
& #8211; v6.6.0 至 v6.6.75(未修補)
& #8211; v6.12.0 至 v6.12.12(未修補) Linux Kernel 係呢個領域最重要嘅考量之一。

Linux Kernel:Step 2:用 PoC 實測

GitHub 上面已經有人放出 DirtyDecrypt PoC,你可以喺隔離環境測試: Linux Kernel 係呢個領域最重要嘅考量之一。

# Clone PoC(僅限測試環境!)
git clone https://github.com/security-research/dirtydecrypt-poc.git
cd dirtydecrypt-poc

# Compile
gcc -o dirtydecrypt dirtydecrypt.c -lpthread

# Run exploit
./dirtydecrypt

如果 exploit 成功,你會見到 `#` prompt — 即係已經變咗 root。呢個正正說明 Linux Kernel 漏洞嘅嚴重性。

⚠️ **警告:絕對唔好喺 production 環境執行 PoC!** 用 VM 或者 container 隔離測試。 Linux Kernel 係呢個領域最重要嘅考量之一。

Step 3:即時修補 Linux Kernel

最直接方法係 update Linux Kernel:

# Ubuntu / Debian
sudo apt update && sudo apt upgrade -y
sudo reboot

# RHEL / Rocky / AlmaLinux
sudo dnf update kernel -y
sudo reboot

# Arch Linux
sudo pacman -Syu linux
sudo reboot

Update 完再 check 一次:

uname -r
# 應該見到已修補版本,例如 6.12.13+ 或 6.13.x

Linux Kernel:Step 4:冇得 reboot 嘅應急措施

如果 production server 唔可以即刻 reboot,可以用以下 mitigations: Linux Kernel 係呢個領域最重要嘅考量之一。

# 暫時 disable dm-crypt module(如果冇用緊 disk encryption)
sudo modprobe -r dm_crypt

# 或者限制 unprivileged user namespace
sudo sysctl -w kernel.unprivileged_userns_clone=0
echo "kernel.unprivileged_userns_clone=0" | sudo tee -a /etc/sysctl.d/99-cve-2026-31635.conf

Linux Kernel:Step 5:確認 mitigation 生效

# Check dm-crypt 仲有冇 loaded
lsmod | grep dm_crypt

# Check user namespace 限制
sysctl kernel.unprivileged_userns_clone
# 應該 output: kernel.unprivileged_userns_clone = 0

Linux Kernel:影響範圍有幾大?

Linux Kernel 漏洞 CVE-2026-31635 影響所有用 LUKS/dm-crypt 做 disk encryption 嘅 Linux distribution,包括:

& #8211; Ubuntu 20.04 / 22.04 / 24.04
& #8211; Debian 11 / 12
& #8211; RHEL 8 / 9 及衍生版(Rocky, Alma)
& #8211; 所有用 Linux Kernel 5.10+ 嘅 container host
& #8211; Google Cloud / AWS / Azure 嘅 Linux VM(如果行緊 affected Linux Kernel)

CVSS 評分估計喺 7.8(High),因為需要 local access,但 exploit 難度低,PoC 已公開。 Linux Kernel 係呢個領域最重要嘅考量之一。

Linux Kernel:總結

Linux Kernel 安全性一直係 infrastructure 防守嘅第一線。CVE-2026-31635 DirtyDecrypt 再次提醒我哋:LPE 漏洞雖然要求 local access,但喺 shared hosting、container environment、或者有任何 untrusted user 嘅 server 上,隨時可以俾 attacker 由 limited shell 一步跳去 root。

**行動清單:**
1. ✅ Check Linux Kernel version
2. ✅ Update 去已修補版本
3. ✅ 冇得 reboot 就落 mitigation
4. ✅ 定期 monitor security advisory Linux Kernel 係呢個領域最重要嘅考量之一。

Linux Kernel安全係長久戰,keep patching!下次再同大家分享更多 Linux Kernel 安全實戰技巧。

Linux #LinuxKernel #CVE #資安 #漏洞修補 #DirtyDecrypt #PrivilegeEscalation #InfrastructureSecurity

📌 延伸閱讀:

Linux Kernel 一直係 IT 界熱門話題。無論你係新手定老手,了解Linux Kernel最新發展、掌握Linux Kernel相關實戰技巧,都能夠令你喺職場上更有競爭力。Linux Kernel嘅重要性只會愈來愈大,及早裝備自己係最佳策略。

標籤

相關文章